锐速通常降低内核到 3.x (受影响)
BBR Plus 通常降低到 4.x (受影响)
其它 BBR 魔改版本通常降低到 4.X (受影响)
腾讯 TCPA 通常降低到 4.X (受影响)
所以下次你的鸡儿,突然死了,别怪运营商不稳定,你自己检查一下你的内核版本吧,亲。
关于 Linux TCP "SACK PANIC" 远程拒绝服务漏洞
漏洞编号: CVE-2019-11477 高危 CVE-2019-11478 中危 CVE-2019-11479 中危
漏洞威胁: 攻击者可利用该漏洞远程发送特殊构造的攻击包,使目标服务器系统崩溃或无法提供服务。
请更新至最新的 5.x 目前只有这个内核修复了以下三个攻击漏洞,攻击通常是整个 IP 段批量脚本进行的,不要存在侥幸心理,我提供 CentOS7 的更新方法
兼顾原版 BBR。
RooT 用户登入后:
0:grub2-editenv list (先看一下你默认启动的内核版本号)
1:yum clean all
2:yum makecache
3:yum update kernel -y
4:apt update
5:rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
6:rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm
7:yum --enablerepo=elrepo-kernel install kernel-ml -y
8:grub2-set-default 0 (设置刚安装好的新内核,启动顺序是第一位,通常是 0 )
9:reboot
10:yum -y remove kernel kernel-tools (重启后,删除旧的内核)
11:echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
12:sysctl -p
13:sysctl -n net.ipv4.tcp_congestion_control (看有进程是 BBR 就可以了)
14:lsmod | grep bbr (同上)
1
mikeguan 2019-06-22 12:05:35 +08:00 via Android
记忆中不错的话新闻是 5.x 也有影响吧,直接让重新编译最新内核吧(动手能力强),或者等待官方修补(安全,稳定)
|
2
unknowncheater 2019-06-22 12:06:25 +08:00
apt 都出来了?打错了吧
|
3
HarveyLiu OP @unknowncheater #2 哈哈,发帖的时候,在用 Ubuntu18.04 ,原谅我的懒惰,修正:yum update
|
4
HarveyLiu OP @mikeguan #1 5.1.12-1.el7.elrepo.x86_64 目前不受影响,没有明确的公布列表说明这个内核也受影响。
|
5
choury 2019-06-22 12:23:39 +08:00 via Android
这个漏洞受不受影响和 3.x 还是 4.x 都没关系,只和 3.x.y 最后的这个 y 有关
|
6
mikeguan 2019-06-22 12:48:28 +08:00 via Android
@HarveyLiu #4 5.1.12 版本在漏洞爆出后出的啊😂 现在很多发行版补丁应该都已经放出,直接升级内核就行
|
7
unknowncheater 2019-06-22 13:05:29 +08:00
更新内核删了我一堆软件,幸好截了图,又装回来了
|
8
KasuganoSoras 2019-06-22 14:20:59 +08:00
不需要更新内核的临时解决方案:
echo 0 > /proc/sys/net/ipv4/tcp_sack sysctl -w net.ipv4.tcp_sack=0 (在 UOvZ 官方频道看到的) |
9
RobertYang 2019-06-22 14:28:58 +08:00 via Android
腾讯云给的安全内核版本
CentOS 6:2.6.32-754.15.3 CentOS 7:3.10.0-957.21.3 Ubuntu 18.04 LTS:4.15.0-52.56 Ubuntu 16.04 LTS:4.4.0-151.178 |
10
notgood 2019-06-22 14:30:11 +08:00 via Android
@unknowncheater 更新内核为什么会删一堆软件?我更新后软件全都在啊
|
11
Love4Taylor 2019-06-22 14:42:47 +08:00
Ubuntu 前两个修了也推了更新, CVE-2019-11479 还没修. 另外不是按大版本算的...
|
12
unknowncheater 2019-06-22 14:54:55 +08:00
@notgood 有些软件依赖于旧内核,卸载旧内核就被顺便卸载了。新内核安装后重新安装软件。例如 Gcc
|
13
FullBridgeRect 2019-06-22 16:41:03 +08:00 via Android
@unknowncheater gcc 不在这个里面
|
14
unknowncheater 2019-06-22 17:56:39 +08:00
@FullBridgeRect 我原来 kernel 是 5.0,新装最新,把我 Gcc 卸了我还有图
|
15
yjd 2019-06-24 09:54:00 +08:00
今天就中了。还以为被 q 了。
|
16
czthebest 2019-11-05 15:32:37 +08:00
也遇到用 bbr plus 后莫名卡顿的问题,先升级内核看看能否解决,感谢
|