Tencent Cloudは、
LinuxカーネルにTCP„SACK PANIC“リモートサービス拒否(DoS)脆弱性(脆弱性番号:CVE-2019-11477、CVE-2019-11478、CVE-2019-11479)が発見されました。攻撃者はこの脆弱性を利用してターゲットサーバーをリモート攻撃し、システムクラッシュやサービス不能を引き起こす可能性があります。
影響を受けるシステム
現在、以下のバージョンが影響を受けることが知られています: FreeBSD 12(RACK TCPプロトコルスタックを使用) CentOS 5(Redhat公式サポート終了、パッチ提供なし) CentOS 6 CentOS 7 Ubuntu 18.04 LTS Ubuntu 16.04 LTS Ubuntu 19.04 Ubuntu 18.10
セキュアなバージョン
主要なLinuxディストリビューションはカーネル修正パッチをリリースしており、詳細な修正済みカーネルバージョンは以下の通りです: CentOS 6 :2.6.32-754.15.3 CentOS 7 :3.10.0-957.21.3 Ubuntu 18.04 LTS:4.15.0-52.56 Ubuntu 16.04 LTS:4.4.0-151.178 FreeBSD:Tencent Cloud公式が提供するFreeBSDイメージはデフォルトでこの脆弱性の影響を受けないため、ご安心してお使いください。 したがって、サイトのセキュリティを考慮し、サーバーカーネルをすぐにアップグレードしてください。NaibaはCentOS7を使用しており、この"SACK PANIC"リモートサービス拒否脆弱性を修正する方法は以下の通りです:
CentOS 6/7 修正方法
1)yum clean all && yum makecache を実行し、ソフトウェアリポジトリを更新します; 2)yum update kernel -y を実行し、現在のカーネルバージョンを更新します; 3)reboot を実行し、更新後にシステムを再起動して有効にします; 4)uname -a を実行し、現在のバージョンが上記の【セキュアなバージョン】であるか確認します。もしそうであれば、修正は成功です。
Ubuntu 16.04/18.04 LTS修正方法
1)sudo apt-get update && sudo apt-get install linux-image-generic を実行し、ソフトウェアリポジトリを更新し新しいカーネルバージョンをインストールします; 2)sudo reboot を実行し、更新後にシステムを再起動して有効にします; 3)uname -a を実行し、現在のバージョンが【セキュアなバージョン】であるか確認します。もしそうであれば、修正は成功です。
一時的な緩和策
ユーザーが再起動によるカーネルパッチ更新が不便な場合、以下の方法でカーネルのSACK設定を無効にして脆弱性の悪用を防ぐことができます(ネットワークパフォーマンスに一定の影響を与える可能性があります)。以下のコマンドを実行します: 1)echo net.ipv4.tcp_sack = 0 >> /etc/sysctl.conf を実行し、SACK設定を無効にします; 2)sysctl -p を実行し、設定を再読み込みして有効にします。
新しいカーネルにアップグレードしBBRを有効にする方法
Naibaは以前にすでにカーネル5.1.4にアップグレードしBBRを有効にしているため、Tencent Cloudが提示したカーネル3.10.0-957.21.3へのアップグレード方法は明らかに適切ではありません。 次に、脆弱性の公開日が6月17日であるのに対し、CentOS 7の新しいカーネルバージョンは5.1.12で、更新日は2019-06-19であることを確認しました。したがって、この脆弱性はすでに修正されているはずです。カーネルを直接5.1.12にアップグレードし、もう一度BBRを有効にすればよいです。 具体的なチュートリアルは以前の記事を参照してください:
CentOS7に新しいカーネルとBBRをインストールしてWordPressを高速化するチュートリアル
コメントは終了しました
この記事のコメント機能は終了しています。ご質問がある場合は、他の方法でお問い合わせください。