内容简介:這幾天的其中最嚴重的應該是Workaround #1: Block connections with a low MSS using one of the supplied filters. (The values in the filters are examples. You can apply a higher or lower limit, as appropriate for your environment.) Note that these filters may break legitima
這幾天的 Linux 主機都有收到 kernel 的更新,起因於 Netflix 發現並與社群一起修正了一系列 Linux 與 FreeBSD 上 TCP 實做 MSS 與 SACK 的安全性問題:「 https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md 」。
其中最嚴重的應該是 CVE-2019-11477 這組,可以導致 Linux kernel panic,影響範圍從 2.6.29 開始的所有 kernel 版本。能夠升級的主機可以直接修正,無法升級的主機可以參考提出來的兩個 workaround:
Workaround #1: Block connections with a low MSS using one of the supplied filters. (The values in the filters are examples. You can apply a higher or lower limit, as appropriate for your environment.) Note that these filters may break legitimate connections which rely on a low MSS. Also, note that this mitigation is only effective if TCP probing is disabled (that is, the net.ipv4.tcp_mtu_probing
sysctl is set to 0, which appears to be the default value for that sysctl).
Workaround #2: Disable SACK processing ( /proc/sys/net/ipv4/tcp_sack
set to 0).
第一個 workaround 是擋掉 MSS 過小的封包,但不保證就不會 kernel panic (文章裡面用語是 mitigation)。
第二個 workaround 是直接關掉 SACK,這組 workaround 在有 packet loss 的情況下效能會掉的比較明顯,但看起來可以避免直接 kernel panic...
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- Xen项目表示,最新4.10版本已经在安全性与创新性之间找到理想平衡点
- Swift 中的安全性
- 浅谈Docker安全性支持
- 【Java并发】线程安全性
- ArrayList 线程安全性学习
- Docker 容器安全性分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
