Linux TCP漏洞 CVE-2019-11477 CentOS7 修復方法

原創 jingde528 2020-06-19 00:13

Linux TCP漏洞 CVE-2019-11477 CentOS7 修復方法

CVE-2019-11477漏洞簡單介紹 https://cert.360.cn/warning/detail?id=27d0c6b825c75d8486c446556b9c9b68
RedHat用戶可以使用以下腳本來檢查系統是否存在漏洞 https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh
AWS CVE-2019-11477漏洞解決方案文檔 https://amazonaws-china.com/cn/security/security-bulletins/AWS-2019-005/?from=groupmessage
阿里雲解決方案文檔 https://help.aliyun.com/noticelist/articleid/1060012493.html?spm=a2c4g.789004748.n2.7.15386141GM8Eyl

Linux TCP漏洞 CVE-2019-11477 CentOS7 修復方法 https://www.cnblogs.com/wzstudy/p/11058328.html

1 直接升級內核修復(需重啓機器)

#下載漏洞檢測腳本
#[root@CentOS7 ~]# wget https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

#[root@CentOS7 ~]# ll
總用量 36
-rw-------. 1 root root  1608 3月  19 09:44 anaconda-ks.cfg
-rw-r--r--  1 root root 28701 6月  18 01:00 cve-2019-11477--2019-06-17-1629.sh

#查看當前內核
[root@CentOS7 ~]# rpm -qa|grep kernel
kernel-3.10.0-957.5.1.el7.x86_64
kernel-headers-3.10.0-957.5.1.el7.x86_64
kernel-devel-3.10.0-957.el7.x86_64
kernel-devel-3.10.0-957.5.1.el7.x86_64
kernel-tools-libs-3.10.0-957.5.1.el7.x86_64
kernel-tools-3.10.0-957.5.1.el7.x86_64
abrt-addon-kerneloops-2.1.11-52.el7.centos.x86_64
kernel-3.10.0-957.el7.x86_64

#執行腳本查看當前漏洞情況
#[root@CentOS7 ~]# sh cve-2019-11477--2019-06-17-1629.sh

This script (v1.0) is primarily designed to detect CVE-2019-11477 on supported
Red Hat Enterprise Linux systems and kernel packages.
Result may be inaccurate for other RPM based systems.

Running kernel: 3.10.0-957.5.1.el7.x86_64

This system is Vulnerable

* Running kernel is vulnerable

For more information about this vulnerability, see:
https://access.redhat.com/security/vulnerabilities/tcpsack

#更新內核
#[root@CentOS7 ~]# yum update kernel
#[root@CentOS7 ~]# rpm -qa|grep kernel
kernel-3.10.0-957.5.1.el7.x86_64
kernel-3.10.0-957.21.3.el7.x86_64
kernel-headers-3.10.0-957.5.1.el7.x86_64
kernel-devel-3.10.0-957.el7.x86_64
kernel-devel-3.10.0-957.5.1.el7.x86_64
kernel-tools-libs-3.10.0-957.5.1.el7.x86_64
kernel-tools-3.10.0-957.5.1.el7.x86_64
abrt-addon-kerneloops-2.1.11-52.el7.centos.x86_64
kernel-3.10.0-957.el7.x86_64

#升級內核後,再次執行檢查情況
#[root@CentOS7 ~]# sh cve-2019-11477--2019-06-17-1629.sh

This script (v1.0) is primarily designed to detect CVE-2019-11477 on supported
Red Hat Enterprise Linux systems and kernel packages.
Result may be inaccurate for other RPM based systems.

Running kernel: 3.10.0-957.5.1.el7.x86_64

This system is Vulnerable

* Running kernel is vulnerable

For more information about this vulnerability, see:
https://access.redhat.com/security/vulnerabilities/tcpsack


#重啓機器生效
#[root@CentOS7 ~]# reboot

#重啓後檢查漏洞情況,當前系統不受影響
#[root@CentOS7 ~]# sh cve-2019-11477--2019-06-17-1629.sh

This script (v1.0) is primarily designed to detect CVE-2019-11477 on supported
Red Hat Enterprise Linux systems and kernel packages.
Result may be inaccurate for other RPM based systems.

Running kernel: 3.10.0-957.21.3.el7.x86_64

This system is Not affected


For more information about this vulnerability, see:
https://access.redhat.com/security/vulnerabilities/tcpsack

2 修改內核參數修復(臨時方法,不用重啓機器)

#[root@CentOS7 ~]# wget https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

#檢查當前漏洞情況,當前系統脆弱
[root@CentOS7 ~]# sh cve-2019-11477--2019-06-17-1629.sh

This script (v1.0) is primarily designed to detect CVE-2019-11477 on supported
Red Hat Enterprise Linux systems and kernel packages.
Result may be inaccurate for other RPM based systems.

Running kernel: 3.10.0-957.5.1.el7.x86_64

This system is Vulnerable

* Running kernel is vulnerable

For more information about this vulnerability, see:
https://access.redhat.com/security/vulnerabilities/tcpsack

#修改內核參數
[root@CentOS7 ~]# echo 0 > /proc/sys/net/ipv4/tcp_sack

#檢查當前漏洞情況
[root@CentOS7 ~]# sh cve-2019-11477--2019-06-17-1629.sh

This script (v1.0) is primarily designed to detect CVE-2019-11477 on supported
Red Hat Enterprise Linux systems and kernel packages.
Result may be inaccurate for other RPM based systems.

Running kernel: 3.10.0-957.5.1.el7.x86_64

This system is Mitigated

* Running kernel is vulnerable
* sysctl mitigation is applied

For more information about this vulnerability, see:
https://access.redhat.com/security/vulnerabilities/tcpsack

#重啓後失效,僅建議臨時使用,或寫進sysctl.conf配置文件內

3 建議

可以先採用臨時方法修改內核參數,當前生效。
然後把內核升級,等可以重啓的時候自動就生效了

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Linux 下 Apache 模塊開發

轉載自 http://blog.csdn.net/21aspnet/article/details/6621621 環境:CentOS 第一步:安裝Apache的apxs 首先來介紹下apache的一個工具apxs。apxs是一個爲A

JK璐 2020-07-08 10:03:37

Centos 安裝 memcached, 並增加到php應用中. yii框架

安裝 yum install memcached 安裝完phpinfo測試, 看php是否已經支持. 如果沒有 ,則需要 php.ini文件中增加 extension = "memcache.so"     啓動  /bin

音乐流星 2020-07-08 07:53:02

Centos7 安裝部署Nacos服務

文章目錄環境準備下載Nacos穩定發佈包解壓運行Nacos包配置Nacos多環境配置列表全局參數Naming模塊Config模塊CMDB模塊Nacos Java Client通用參數Naming客戶端Config客戶端 環境準備

清晨先生 2020-07-08 06:40:26

[Linux] 修改系統默認 Python 版本

Centos7 默認使用Python2.7版本,安裝Python3之後要將系統默認的Python指向新版本,需進行以下幾步操作 1. 查看當前狀況 Python 的執行文件放在 /usr/bin 目錄下,使用 ls -l /usr

風の唄を聴け 2020-07-08 04:26:34

[Python] 安裝 bcolz 模塊

1. 方法一 根據米筐提供的方法, 可以通過下面的方式安裝 bcolz # 鏡像加速 pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple # 更新 pip/setupt

風の唄を聴け 2020-07-08 04:26:33

[Lunix] 將 Python 任務設爲守護進程(一)

一般來說守護進程是通過shell腳本來實現的,大致過程如下: 創建shell腳本,在文件開頭加上#!/bin/sh, 然後寫入要執行的任務。 創建service文件,在文件中寫入要執行的shell文件路徑,路徑必須爲絕對路徑。

風の唄を聴け 2020-07-08 04:26:33

[Lunix] 將 Python 任務設爲守護進程(二)

接着上一篇文章 將 Python 任務設爲守護進程(一),當python任務中包含相對路徑引用時,在service文件中執行python文件會報錯,爲了解決這個問題,還需藉助shell腳本的力量。假設項目存在/root/pytho

風の唄を聴け 2020-07-08 04:26:33

[Centos] 安裝和配置 MongoDB

1. 下載安裝包 wget https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-4.2.0.tgz 2. 解壓文件 將文件放在 /usr/local 目錄下 tar zxf

風の唄を聴け 2020-07-08 04:26:33

[Centos] 從零開始單機部署可遠程訪問的 DolphinScheduler

目錄1. 環境配置1.1 安裝 JAVA 1.81.2 安裝 MySQL 5.71.3 安裝 ZooKeeper 3.6.12. 後端部署 DolphinScheduler2.1 下載2.2 新建用戶並授權2.3 ssh免密登錄配

風の唄を聴け 2020-07-08 04:26:20

Apisix網關搭建

一、安裝依賴 # 安裝 epel, `luarocks` 需要它 wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm sudo rp

No丶不Yes 2020-07-08 01:09:39

Oh my zsh

Oh my zsh前言yum安裝zsh安裝oh my zsh。如果訪問不到則是使用鏈接2#鏈接2oh-my-zsh更換主題找到喜歡的主題(這裏用ys主題做演示)有需求的可以去看這個鏈接oh my zsh 哪些主題比較好看、有特點

大锅霍皮久 2020-07-06 22:34:54

Centos Squid 淺入淺出

Centos Squid 淺入淺出搭建 & 視頻 & 瀏覽器上配置代理SwitchOmega 搭建 & 視頻 & 瀏覽器上配置代理SwitchOmega https://guozh.net/centos-install-squid

大锅霍皮久 2020-07-06 22:34:54

letsencrypt nginxparser.py UnicodeDecodeError: ‘ascii‘ codec can‘t decode byte 0xe2 in position 29:

letsencrypt nginxparser.py UnicodeDecodeError: 'ascii' codec can't decode byte 0xe2 in position 29:錯誤日誌查找非Unicode字符

大锅霍皮久 2020-07-06 22:34:54

關於常用Linux內核參數的優化---持續更新

關於常用Linux內核參數的優化---持續更新 vim /etc/sysctl.conf #每一個端口最大監聽隊列長度,最大文件打開數量以及儘可能使用內存,swap值越大,越會積極使用交換分區 net.core.somaxcon

大锅霍皮久 2020-07-06 22:34:54

Centos 7 服務器安裝 Nginx

廢話不多說 1、添加阿里源鏈接 wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo   2、生成緩存,會把新下載C

成都-Python开发-王帅 2020-07-06 06:29:51