预警 | Linux 爆“SACK Panic”远程DoS漏洞,大量主机受影响
字数 1077 2025-08-18 11:38:44

Linux "SACK Panic" 远程DoS漏洞分析与修复指南

漏洞概述

腾讯云安全中心监测到Linux内核存在一组严重的TCP协议栈漏洞,统称为"SACK Panic"漏洞(漏洞编号:CVE-2019-11477、CVE-2019-11478、CVE-2019-11479)。这些漏洞由Netflix信息安全团队研究员Jonathan Looney发现,攻击者可利用这些漏洞构造特殊的SACK序列请求,导致目标Linux或FreeBSD服务器崩溃或拒绝服务。

风险等级

  • 高风险:可导致系统崩溃或服务不可用

漏洞风险

攻击者可以远程发送特殊构造的攻击包,导致目标服务器:

  1. 系统崩溃(内核panic)
  2. 服务不可用(拒绝服务)

受影响系统版本

Linux发行版

  • CentOS 5(Redhat已停止支持,不再提供补丁)
  • CentOS 6
  • CentOS 7
  • Ubuntu 18.04 LTS
  • Ubuntu 16.04 LTS
  • Ubuntu 19.04
  • Ubuntu 18.10

FreeBSD

  • FreeBSD 12(使用RACK TCP协议栈的版本)

安全版本

各发行版已发布修复补丁的安全内核版本:

发行版 安全内核版本
CentOS 6 2.6.32-754.15.3
CentOS 7 3.10.0-957.21.3
Ubuntu 18.04 LTS 4.15.0-52.56
Ubuntu 16.04 LTS 4.4.0-151.178
FreeBSD 腾讯云官方提供的FreeBSD镜像默认不受影响

修复方案

CentOS 6/7系列用户修复步骤

  1. 更新软件源:

    yum clean all && yum makecache

  2. 更新内核:

    yum update kernel -y

  3. 重启系统使更新生效:

    reboot

  4. 验证更新是否成功:

    uname -a

    检查输出是否匹配上述安全版本号

Ubuntu 16.04/18.04 LTS系列用户修复步骤

  1. 更新软件源并安装最新内核:

    sudo apt-get update && sudo apt-get install linux-image-generic

  2. 重启系统使更新生效:

    sudo reboot

  3. 验证更新是否成功:

    uname -a

    检查输出是否匹配上述安全版本号

临时缓解方案(适用于无法立即重启的情况)

通过禁用内核SACK配置来防范漏洞利用:

sysctl -w net.ipv4.tcp_sack=0

注意:此方法可能会影响网络性能,建议尽快安排系统重启进行完整修复。

漏洞参考

  1. Netflix官方通告
  2. 社区参考
  3. 红帽安全公告

后续建议

  1. 建议云上租户开通腾讯云「安全运营中心」-安全情报服务,及时获取最新漏洞情报
  2. 定期检查系统更新,保持系统补丁处于最新状态
  3. 对于已停止支持的版本(如CentOS 5),建议升级到受支持的版本
Linux "SACK Panic" 远程DoS漏洞分析与修复指南 漏洞概述 腾讯云安全中心监测到Linux内核存在一组严重的TCP协议栈漏洞,统称为"SACK Panic"漏洞(漏洞编号:CVE-2019-11477、CVE-2019-11478、CVE-2019-11479)。这些漏洞由Netflix信息安全团队研究员Jonathan Looney发现,攻击者可利用这些漏洞构造特殊的SACK序列请求,导致目标Linux或FreeBSD服务器崩溃或拒绝服务。 风险等级 高风险 :可导致系统崩溃或服务不可用 漏洞风险 攻击者可以远程发送特殊构造的攻击包,导致目标服务器: 系统崩溃(内核panic) 服务不可用(拒绝服务) 受影响系统版本 Linux发行版 CentOS 5(Redhat已停止支持,不再提供补丁) CentOS 6 CentOS 7 Ubuntu 18.04 LTS Ubuntu 16.04 LTS Ubuntu 19.04 Ubuntu 18.10 FreeBSD FreeBSD 12(使用RACK TCP协议栈的版本) 安全版本 各发行版已发布修复补丁的安全内核版本: | 发行版 | 安全内核版本 | |--------|--------------| | CentOS 6 | 2.6.32-754.15.3 | | CentOS 7 | 3.10.0-957.21.3 | | Ubuntu 18.04 LTS | 4.15.0-52.56 | | Ubuntu 16.04 LTS | 4.4.0-151.178 | | FreeBSD | 腾讯云官方提供的FreeBSD镜像默认不受影响 | 修复方案 CentOS 6/7系列用户修复步骤 更新软件源: 更新内核: 重启系统使更新生效: 验证更新是否成功: 检查输出是否匹配上述安全版本号 Ubuntu 16.04/18.04 LTS系列用户修复步骤 更新软件源并安装最新内核: 重启系统使更新生效: 验证更新是否成功: 检查输出是否匹配上述安全版本号 临时缓解方案(适用于无法立即重启的情况) 通过禁用内核SACK配置来防范漏洞利用: 注意:此方法可能会影响网络性能,建议尽快安排系统重启进行完整修复。 漏洞参考 Netflix官方通告 社区参考 红帽安全公告 后续建议 建议云上租户开通腾讯云「安全运营中心」-安全情报服务,及时获取最新漏洞情报 定期检查系统更新,保持系统补丁处于最新状态 对于已停止支持的版本(如CentOS 5),建议升级到受支持的版本