Ngày 17/6/2019, 3 lỗ hổng liên quan đến việc xử lý các gói tin TCP đã được tìm thấy trong Linux kernel.

Lỗ hổng nghiêm trọng nhất có thể cho phép kẻ tấn công từ xa gửi mã khai thác và gây ra crash hệ thống, ảnh hưởng đến tính khả dụng của hệ thống. Không có sự leo thang đặc quyền hoặc rò rỉ thông tin.

Các lỗ hổng này bao gồm:

• CVE-2019-11477 (có mức độ nghiêm trọng).
• CVE-2019-11478.
• CVE-2019-11479.

Phạm vi ảnh hưởng:

• CVE-2019-11477 : Ảnh hưởng đến các phiên bản nhân Linux từ 2.6.29 trở lên.
• CVE-2019-11478 : Ảnh hưởng đến các phiên bản nhân Linux 4.15 trở xuống
• CVE-2019-11479 : Ảnh hưởng tất cả các phiên bản Linux

Cách kiểm tra hệ thống tồn tại lỗ hổng:

• Download script ở địa chỉ: https://access.redhat.com/sites/default/files/cve-2019-11477–2019-06-17-1629.sh

    wget https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh 
    bash cve-2019-11477--2019-06-17-1629.sh
  

• Kết quả hệ thống tồn tại lỗ hổng:

  

• Kết quả hệ thống không tồn tại lỗ hổng:

  

Biện pháp xử lý

Khuyến cáo người dùng sớm Update Kernel lên phiên bản mới Sau đó thực hiện 1 trong 2 cách fix sau:

• Disable SACK processing (/proc/sys/net/ipv4/tcp_sack set to 0) (reboot lại sẽ mất cấu hình).

    echo 0 > /proc/sys/net/ipv4/tcp_sack
  

  Hoặc

    sysctl -w net.ipv4.tcp_sack=0
  

• Add rules vào firewall:

    firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP
    firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP
    firewall-cmd --reload
    firewall-cmd --permanent --direct --get-all-rules
  

  Hoặc đối với iptables:

    iptables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP
    ip6tables -I INPUT -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j DROP
    iptables -nL -v
    ip6tables -nL -v
  

Link tham khảo:

• https://access.redhat.com/security/vulnerabilities/tcpsack

---

Thực hiện bởi cloud365.vn