如何修复Linux内核存在的TCP漏洞？

卡内基梅隆大学的 CERT/CC 发出警告，称 Linux 内核 4.9 及更高版本中有一个 TCP 漏洞，该漏洞可使攻击者通过极小流量对系统发动 DoS （Denial-of-Service，拒绝服务）攻击。

该漏洞是由诺基亚贝尔实验室支持的芬兰阿尔托大学网络部门的 Juha-Matti Tilli 发现的，目前已经被编号为 CVE-2018-5390，并且被 Red Hat 称为“SegmentSmack”。

CERT/CC 指出，由于漏洞，新版本 Linux 内核可能被迫对每个传入的数据包进行非常消耗资源的 tcp_collapse_ofo_queue() 和 tcp_prune_ofo_queue() 调用，这会导致受影响的系统上 CPU 变得饱和，从而产生 DoS 条件。

远程攻击者可以以相对较小的传入网络流量带宽通过在正在进行的 TCP 会话中发送特别修改的数据包来导致 DoS。“在最糟糕的情况下，攻击者可以仅使用小于 2kpps （每秒 2000 个数据包）的攻击流量让被害主机瘫痪”，Red Hat 解释到：“四个流的攻击结果可能看起来像是四核 CPU 完全饱和，并且网络数据包处理被延迟。”

CERT/CC 列出了许多可能受到影响的网络设备供应商、PC 和服务器制造商、移动供应商和操作系统制造商（具体列表），鉴于 Linux 的广泛使用，该漏洞的影响范围很大，包括从亚马逊和 Apple 到 Ubuntu 和 ZyXEL 的每个供应商。目前已确认受影响的 Red Hat 系统包括RHEL 6 和 7、RHEL 7 for Real Time、RHEL 7 for ARM64、RHEL 7 for IBM POWER 和 RHEL Atomic Host。

Red Hat 表示，对于管理员来说，除了等待内核修复，目前还没有有效的解决方法或缓解措施。