Und leider direkt noch ein Grund die Systeme mal wieder zu patchen:
https://access.redhat.com/security/vulnerabilities/tcpsack
„Three related flaws were found in the Linux kernel’s handling of TCP networking. The most severe vulnerability could allow a remote attacker to trigger a kernel panic in systems running the affected software and, as a result, impact the system’s availability.“
Mit besten Grüßen,
Andre
Hallo zusammen,
cert.at gibt hierzu noch den Hinweis
Abhilfe
Patches für den Kernel sind bereits verfügbar (die URLs zu den Patches finden Sie im unten verlinkten Advisory), einige Linux- Distributionen haben auch schon Updates bereitgestellt.
Für die Zeit bis zum Neustart kann auch eine der folgenden Sofortmaßnahmen eingesetzt werden: * Verbindungen mit einer sehr niedrigen MSS auf der Firewall blockieren. Beispielhafte Filterregeln finden sich im unten verlinkten Advisory. * Deaktivierung von SACK-Verarbeitung bis zu nächsten Neustart. Führen Sie dazu den Befehl
sysctl -w net.ipv4.tcp_sack=0
als root aus. Sollte es bei Ihrem System nicht möglich sein, den Kernel upzudaten, können sie diesen Workaround dauerhaft implementieren, indem Sie den folgenden Befehl als root ausführen:
echo "net.ipv4.tcp_sack = 0" >> /etc/sysctl.conf
VG
Bernd
Am 18.06.19 um 09:34 schrieb Stollenwerk, André:
Und leider direkt noch ein Grund die Systeme mal wieder zu patchen:
https://access.redhat.com/security/vulnerabilities/tcpsack
„Three related flaws were found in the Linux kernel’s handling of TCP networking. The most severe vulnerability could allow a remote attacker to trigger a kernel panic in systems running the affected software and, as a result, impact the system’s availability.“
Mit besten Grüßen,
Andre
rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de
Hallo zusammen,
wer aktuell den Linux-Server trotz installiertem Patch nicht neustartetn kann, hat neben
date -R; sysctl -w net.ipv4.tcp_sack=0
auch noch folgende Möglichkeit
date -R; iptables -t filter -I INPUT 1 -p tcp -m tcpmss --mss 1:500 -j DROP date -R; ip6tables -t filter -I INPUT 1 -p tcp -m tcpmss --mss 1:500 -j DROP
VG
Bernd
rwth-security@lists.rwth-aachen.de