国家漏洞库CNNVD：关于Linux和FreeBSD内核多个安全漏洞情况的通报

近日，国家信息安全漏洞库（CNNVD）收到关于 Linux 和FreeBSD内核多个安全漏洞（CNNVD-201906-681、CVE-2019-11477）（CNNVD-201906-682、CVE-2019-11478）（CNNVD-201906-683、CVE-2019-11479）（CNNVD-201906-703、CVE-2019-5599）情况的报送。攻击者可以远程利用这些漏洞，造成Linux和FreeBSD内核崩溃，从而导致拒绝服务。Linux多个版本受漏洞影响。目前，Ubuntu和 RedHat已发布漏洞修复补丁，暂未发布补丁的版本可通过临时修补措施缓解漏洞带来的危害，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

2019年6月18日，Netflix安全团队发布《Linux和FreeBSD内核：多个基于TCP的远程拒绝服务漏洞公告》。报告中公布了相关漏洞（CNNVD-201906-681、CVE-2019-11477）（CNNVD-201906-682、CVE-2019-11478）（CNNVD-201906-683、CVE-2019-11479）（CNNVD-201906-703、CVE-2019-5599）的细节。攻击者可通过发送精心设计的SACK 序列来利用上述漏洞，造成Linux和FreeBSD内核崩溃，从而导致拒绝服务。

二、危害影响

成功利用该漏洞的攻击者可以造成Linux和FreeBSD内核崩溃，从而导致拒绝服务。Linux多个版本受漏洞影响，具体影响版本如下：

CNNVD-201906-681、CVE-2019-11477 影响 Linux 2.6.29以上的内核版本

CNNVD-201906-682、CVE-2019-11478 影响所有 Linux 版本

CNNVD-201906-683、CVE-2019-11479 影响所有 Linux 版本

CNNVD-201906-703、CVE-2019-5599 影响使用RACK TCP堆栈的FreeBSD 12版本

三、修复建议

目前，Ubuntu和RedHat已发布漏洞修复补丁，暂未发布补丁的版本可通过临时修补措施缓解漏洞带来的危害，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。具体措施如下：

（1）CNNVD-201906-681、CVE-2019-11477漏洞修复补丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1_4.patch

Linux内核版本>=4.14需要打第二个补丁

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001/PATCH_net_1a.patch

（2）Ubuntu和RedHat系统的修复方案

Ubuntu用户可以使用如下命令更新（更新完成后需要重启生效）：

RedHat用户可以使用如下命令更新（更新完成后需要重启生效）：

（3）其它漏洞临时修补措施

对于暂时无法更新内核或者重启的用户，可以使用如下缓解措施。

临时禁用易受攻击的组件：

或者使用iptables删除可能利用此漏洞的流量：

本通报由CNNVD技术支撑单位——知道创宇404实验室、奇安信科技集团股份有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。