CVE-2019-11477 漏洞检测脚本（影响大多数Linux内核）

漏洞公布时间：2019-06-17

漏洞影响范围：CVE-2019-11477: SACK Panic (Linux >= 2.6.29)

漏洞概述： A sequence of SACKs may be crafted such that one can trigger an integer overflow, leading to a kernel panic.

漏洞详情：

首先要搞懂什么是SACK （Selective ACK） ，至于什么是ACK 自己看tcp 协议去搞懂吧

SACK 作用，用户Bob 告诉Alice 所有他已经成功收到的seg：1，2，4，6，8-13 ，所以为了减轻带宽、避免以后的堵塞情况，用户Alice 只需重传 seg：3，5，7

看下图比较容易理解

 

SKB 最大存储17 个fragment ，每个fragment 存储的字节量根据cpu架构有所不同，x86架构最大32k，x64架构最大64k

当seg 的offload 是开启状态的时候，SACK机制也会自动启用；由于数据包的丢失喝某些数据包的重传，SACK 可能最终持有多个数据包，数量根据“tcp_gso_segs”进行记录。

多个数据包在SACK 的列表中会合并成一个数据包来高效的处理多个SACK 块，这个过程中涉及到把数据从一个SKB 转移到列表中的另一个数据包中，在这个过程中SKB 会达到结果设计的最大值 17 fragments， “tcp_gso_segs” 参数也会造成溢出，使程序运行到BUG_ON() 函数，最终导致内核SACK Panic

远程用户可通过设置tcp连接中最大的seg 大小到48 byte 并且发送一些列的特制SACK 数据包引发这个漏洞。最小的MSS （最大的seg 大小） 只允许8 byte/seg ，因此会增加tcp seg 去重传所有的数据。

 

 

漏洞检测脚本

https://download.csdn.net/download/helloexp/11251168

 

文章参考链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11477

https://access.redhat.com/security/vulnerabilities/tcpsack