【安全公告】Linux 内核 TCP SACK 漏洞风险通告

近日，业内发布安全公告，Linux 内核在处理 TCP SACK(Selective Acknowledgement)时存在三个漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479)，攻击者可通过该漏洞远程发送攻击包造成拒绝服务攻击，影响程度严重。 影响范围： 该漏洞目前已知影响使用 Linux 内核 2.6.29 及以上版本的发行版，包括（但不限于）如下系统： CentOS 5/CentOS 6/CentOS 7 Ubuntu 16.04 LTS/Ubuntu 18.04 LTS Debian jessie/stretch/buster 修复办法： 1. 禁用 TCP SACK 及 mtu_probing 机制功能，执行如下命令： echo 0 > /proc/sys/net/ipv4/tcp_sack sysctl -w net.ipv4.tcp_sack=0 echo 0 > /proc/sys/net/ipv4/tcp_mtu_probing sysctl net.ipv4.tcp_mtu_probing iptables -A INPUT -p tcp -m tcpmss –mss 1:500 -j DROP 2. 升级 Linux 安全补丁(需要重启服务器) Centos：yum update kernel Ubuntu：apt-get update && sudo apt-get install linux-image-generic 注意： 以上修复方式，请在操作前评估对业务可用性的影响 参考资料： [Netflix 通告] (https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md) [RedHat 通告] (https://access.redhat.com/security/vulnerabilities/tcpsack) [Canonical 通告] (https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic)