TCP SACK PANIC
Hrh
・3 分钟阅读
执行概要
在Linux内核处理TCP网络时发现了三个相关的缺陷。最严重的漏洞可能允许远程攻击者在运行受影响软件的系统中触发kernel panic,从而影响系统的可用性。
问题已被分配多个CVE : CVE-2019-11477 被认为是一个 重要 严重程度,CVE-2019-11478 和 CVE-2019-11479 被视为 适中 严重程度。
通过应用缓解措施或内核补丁来纠正这些问题。可以在本文的选项卡上找到缓解详细信息和RHSA advsories的链接。
问题详细信息和背景
在Linux内核处理具有低MSS大小的TCP选择性确认(SACK)数据包处理时发现了三个相关缺陷。据了解,影响程度仅限于拒绝服务。目前没有特权升级或信息泄露。
虽然本文中显示的缓解措施可用,但是,它们可能会影响来自合法来源的流量,这些来源需要较低的MSS值才能正确传输和系统性能。请在应用前评估适合系统环境的缓解方法。
什么是选择性确认?
TCP选择性确认(SACK)是一种机制,数据接收方可以通知发送方有关已成功接受的所有段。禁用TCP SACK时,需要一组较大的重传来重新传输完整的流。
什么是MSS
最大段大小(MSS )是在包的TCP头中设置的参数,它指定重建的TCP段中包含的数据总量,
在跨不同路由传输数据包时,主机必须指定主机可以处理的最大IP数据报负载大小,非常大的MSS大小可能意味着数据包流在到达目的地的路上最终会被分段,而且较小的数据包可以确保较少的分段,但是,最终会导致未使用的开销。
操作系统和传输类型默认为指定的MSS大小,具有特权访问权限的攻击者可以创建原始包,在包中使用特制的MSS选项来创建这个攻击。
行动起来吧
强烈建议运行这些受影响版本的Red Hat产品的客户,在勘误表可用时立即更新它们。建议客户立即应用可用更新,并在他们认为合适的情况下启用缓解措施。
运行受支持的Red Hat Enterprise Linux 7或更高版本的客户的可以使用kpatch。请打开一个支持案例以获取对kpatch的访问权限。
有关kpatch的更多详细信息: RHEL 7 和更高版本中的内核补丁(kpatch )支持?
受影响产品的更新
产品 | 软件包 | 咨询/更新 |
Red Hat企业Linux 8(z-stream ) | 内核 | RHSA-2019:1479 |
Red Hat企业Linux 8 | 内核rt | RHSA-2019:1480 |
Red Hat企业Linux 7(z-stream ) | 内核 | RHSA-2019:1481 |
Red Hat Enterprise Linux 7 | 内核rt | RHSA-2019:1486 |
Red Hat企业Linux 7.5扩展更新支持[1 ] | 内核 | RHSA-2019:1482 |
Red Hat企业Linux 7.4扩展更新支持[1 ] | 内核 | RHSA-2019:1483 |
Red Hat企业Linux 7.3更新服务,用于SAP解决方案, |