不要惊慌 - 补丁
Linux服务器和设备需要修补以防御新发现的安全漏洞,这些漏洞可以通过发送错误的请求来为黑客创建崩溃系统的现成机制。
该问题源于三个相关缺陷Linux内核处理TCP网络。
前两个与选择性确认(SACK)数据包相关联,结合了最大段大小(MSS),而第三个数据包仅与最大段大小(MSS)有关。
最严重的三重奏被称为“麻袋恐慌”,使近期的Linux内核中有远程触发的内核。
这个CVE-2019-114477缺陷被红帽描述为“重要”。Linux OS供应商将其他两个缺陷指定为CVE-2019-11478和CVE-2019-11479 - 较低的“中度”严重性风险。
三人都不出现特权升级或远程代码执行((RCE)风险,但确实是个坏消息,因为他们可能存在的普遍拒绝服务风险。
通过触发所谓的内核恐慌,一系列发送到脆弱系统的恶意数据包崩溃或减速了。
幸运的是,Linux OS供应商(例如Red Hat)的补丁已经可用。
被称为麻袋缓慢的相关问题(CVE-2019-5599)对FreeBSD系统构成了适度的风险。
流媒体媒体巨头Netflix发现了一组相关的服务缺陷,该缺点已发表了咨询。Netflix将缺陷归类为“关键”。
喜欢Cloudflare和AWS已经采取行动来防止威胁。
有些保护(缺乏修补)是可能的,但这具有缺点。
“尽管本文中显示的缓解措施可用,但它们可能会影响合法来源的流量,这些流量要求较低的MSS值正确传输和系统性能。”安全公告。
TCP选择性确认(解雇)允许数据接收器确认发件人成功到达的特定段的发件人。
可以在不经过从头开始的开销的情况下重新进行丢失的细分。
可能会禁用TCP麻袋,但会为流式的内容引起传输开销。