在最近的安全公告中,Canonical详细介绍了两个最近发现的安全漏洞 (CVE-2019-11477 何 CVE-2019-11478),它们在处理某些特定的TCP选择性确认(SACK)时会影响Linux内核的TCP重传队列实现。
这两个安全漏洞都是由Jonathan Looney发现的,可能会导致远程攻击者通过拒绝服务来破坏受影响的系统。它们被称为SACK Panic,它们会影响所有支持的Ubuntu Linux版本,包括Ubuntu 19.04,Ubuntu 18.10,Ubuntu 18.04 LTS和Ubuntu 16.04 LTS。
“Jonathan Looney发现Linux内核的TCP实现处理选择性确认(SACK)选项并处理低最大段大小(MSS)值的方式存在一些缺陷。远程攻击者可以利用这些问题在服务器上执行拒绝服务攻击, “Canonical说。
敦促用户立即更新他们的系统
Canonical敦促Ubuntu 19.04 (Disco Dingo)、Ubuntu 18.10 (Cosmic Cuttlefish)、Ubuntu 18.04 LTS (Bionic Beaver)和Ubuntu 16.04 LTS (Xenial Xerus)操作系统系列的所有用户立即将安装更新到官方存储库中可用的新内核版本。
Linux硬件支持(HWE)内核也可用于使用Ubuntu 18.10内核的Ubuntu 18.04.2 LTS系统和使用Ubuntu 18.04 LTS内核的Ubuntu 16.04.6 LTS系统。
要更新您的Ubuntu系统,请按照以下的说明更新您的机器。请记住,您需要在安装内核更新后重新启动计算机。
桌面版:
默认情况下,每天通知用户安全更新,每周通知用户非安全更新。 可以在Update Manager中设置Ubuntu如何提醒您以及如何配置系统以自动安装更新。 您可以随时按“Alt + F2”,输入“update-manager”并按Enter键来访问Update Manager。 它的设置可以通过按“设置”按钮进行调整。
一旦Update Manager打开,您可以查看并选择待定更新以及检查新更新。 只需按“安装更新”按钮即可将选定的软件包升级到更新版本。
服务器版:
如果安装了update-notifier-common软件包,Ubuntu会在控制台或远程登录时通过当天的消息(motd)提醒您有关未决更新。
登录后,您可以检查并应用新的更新:
$ sudo apt-get update
$ sudo apt-get dist-upgrade
执行更新时,首先查看适配器将要执行的操作,然后确认要应用更新(运行开发版本时尤其如此)。
如果您希望自动应用更新,请确保已安装无人参与升级软件包,然后运行“dpkg-reconfigure unattended-upgrades”。 请注意,更新可能会重新启动服务器上的服务,因此这可能不适用于所有环境。