官方修复方案:
1. 升级内核
等待 Linux 内核官方合入该漏洞修复补丁后,将系统内核升级至包含修复的正式版本。
截至 2026-03-30,官方主线与各稳定版、LTS 版均未发布修复,需持续关注内核官方更新。
2. 手动应用补丁
对需立即防护的业务服务器,可手动应用 Jeff Layton 提供的官方修复补丁:
[PATCH] nfsd: fix heap overflow in NFSv4.0 LOCK replay cache
补丁通过检查响应长度,对超长响应跳过 replay 缓存,从根源避免堆溢出。
临时缓解方案:
1.禁用 NFSv4.0,仅启用 NFSv4.1/NFSv4.2,该漏洞仅影响 NFSv4.0,NFSv4.1 及以上版本因使用 Session 机制不受影响。
修改 NFS 配置:
# /etc/nfs.conf
[nfsd]
vers4.0=no
vers4.1=yes
vers4.2=yes
重启 nfs-server 生效。
2. 限制 NFS 服务网络访问
使用防火墙限制 2049 端口,仅允许可信客户端 IP 访问,禁止公网开放 NFS 服务。
3. 最小权限运行
启用 root_squash 等权限限制,降低漏洞被利用后的潜在危害。
4. 启用内核安全机制
确保开启 KASLR、KPTI、SMEP/SMAP 等内核防护,增加漏洞利用难度。
10个月宝宝每天需要喝多少奶粉?
