【漏洞預警】CNNVD 關于Linux和FreeBSD內核多個安全漏洞情況的通報

近日，國家信息安全漏洞庫（CNNVD）收到關于Linux和FreeBSD內核多個安全漏洞（CNNVD-201906-681、CVE-2019-11477）（CNNVD-201906-682、CVE-2019-11478）（CNNVD-201906-683、CVE-2019-11479）（CNNVD-201906-703、CVE-2019-5599）情況的報送。攻擊者可以遠程利用這些漏洞，造成Linux和FreeBSD內核崩潰，從而導致拒絕服務。Linux多個版本受漏洞影響。目前，Ubuntu和 RedHat已發布漏洞修復補丁，暫未發布補丁的版本可通過臨時修補措施緩解漏洞帶來的危害，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹 2019年6月18日，Netflix安全團隊發布《Linux和FreeBSD內核：多個基于TCP的遠程拒絕服務漏洞公告》。報告中公布了相關漏洞（CNNVD-201906-681、CVE-2019-11477）（CNNVD-201906-682、CVE-2019-11478）（CNNVD-201906-683、CVE-2019-11479）（CNNVD-201906-703、CVE-2019-5599）的細節。攻擊者可通過發送精心設計的SACK 序列來利用上述漏洞，造成Linux和FreeBSD內核崩潰，從而導致拒絕服務。

二、危害影響 成功利用該漏洞的攻擊者可以造成Linux和FreeBSD內核崩潰，從而導致拒絕服務。Linux多個版本受漏洞影響，具體影響版本如下： CNNVD-201906-681、CVE-2019-11477 影響 Linux 2.6.29以上的內核版本 CNNVD-201906-682、CVE-2019-11478 影響所有 Linux 版本 CNNVD-201906-683、CVE-2019-11479 影響所有 Linux 版本 CNNVD-201906-703、CVE-2019-5599 影響使用RACK TCP堆棧的FreeBSD 12版本

三、修復建議 目前，Ubuntu和 RedHat已發布漏洞修復補丁，暫未發布補丁的版本可通過臨時修補措施緩解漏洞帶來的危害，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。具體措施如下： （1）CNNVD-201906-681、CVE-2019-11477漏洞修復補丁 https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch Linux內核版本>=4.14需要打第二個補丁 https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch （2）Ubuntu和RedHat系統的修復方案 Ubuntu用戶可以使用如下命令更新（更新完成后需要重啟生效）： $ sudo apt-get update $ sudo apt-get dist-upgrade RedHat用戶可以使用如下命令更新（更新完成后需要重啟生效）： yum install -y yum-security yum --security check-update yum update --security （3）其它漏洞臨時修補措施 對于暫時無法更新內核或者重啟的用戶，可以使用如下緩解措施。 臨時禁用易受攻擊的組件： # echo 0 > /proc/sys/net/ipv4/tcp_sack 或者 # sysctl -w net.ipv4.tcp_sack=0 或者使用iptables刪除可能利用此漏洞的流量： # iptables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP # ip6tables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP # iptables -nL -v # ip6tables -nL -v 來源：國家信息安全漏洞庫