このたび、サーバのカーネルにリモートからサービス運用妨害 (DoS) およびカーネルパニックになる脆弱性が発見されましたため、下記の通りご案内いたします。
問題の概要
RedHat Enterprise Linux(RHEL) もしくは CentOS に含まれるカーネルには細工された SACK パケット列によって、整数オーバーフローが引き起こされてサービス運用妨害(DoS) 状態もしくはカーネルパニックが発生する可能性があります。
Linux カーネルの初期状態では、maximum segment size (MSS) が 48 バイトにハードコードされており、パケットの分割が大量に発生する原因になります。本脆弱性は CPU およびネットワークインターフェース双方でリソースの過剰な消費を引き起こす可能性があり、結果としてサービス運用妨害 (DoS) 状態となる可能性があります。
この脆弱性には、CVE 識別番号として CVE-2019-11478、CVE-2019-11479が割り当てられています。
詳細に関しましては、以下の情報もご参照ください。
・CVE-2019-11478(RedHat)
https://access.redhat.com/security/cve/cve-2019-11478
・CVE-2019-11479(RedHat)
https://access.redhat.com/security/cve/cve-2019-11479
・Linux および FreeBSD カーネルにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU93800789/index.html
影響を受けるサーバ
Linux系 OS を使用し、該当のカーネルをインストールされている以下のサーバが対象となります。
当社で主に提供しているOSは以下の通りです。
CentOS6 / RHEL6
CentOS7 / RHEL7
・OSに関するご案内
https://spt.clara.jp/other/os-info/
・限定サポートポリシー(サポートが切れたOSに関しまして)
https://spt.clara.jp/other/limited-support/
対象となるカーネルのバージョン
Linux カーネル 2.6.29 およびそれ以降
対応策
カーネルのアップデートおよびOS再起動
※ カーネルのアップデートは有償にて、弊社にて作業代行を承りますのでご希望の場合はお問い合わせください。
※ OS再起動については以下フォームよりお申込みください。
https://spt.clara.jp/contact/emergency/
参考手順
kernel アップデート方法
- 対象となるkernel バージョン
2.6.29 以降 - 修正済みのkernel バージョン
CentOS6 / RHEL6 2.6.32-754.15.3.el6
CentOS7 / RHEL7 3.10.0-957.21.3.el7
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). OSのバージョン確認方法
対象のOSバージョンである事を確認します。
# cat /etc/redhat-release
(3). kernel バージョンの確認
対象のバージョンである事を確認します。
# uname -r
(4). アップデートの実施
以下のコマンドを実行し、アップデートを行います
# yum update kernel*
(5). サーバの再起動
以下のコマンドを実行し、サーバの再起動を実施します
# reboot
(6). kernel バージョンの確認
SSH にてサーバにログインし、root ユーザに切り替えます。
修正済みのバージョンである事を確認します。
# uname -r