依RedHat官网发布的安全报告：安全研究人员在Linux内核处理TCP SACK数据包模块中发现了三个漏洞内核TCP SACK机制存在缺陷，可导致远程拒绝服务。

CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。

漏洞描述

Linux内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷，导致整数溢出漏洞，攻击者可以构造特定的SACK包，远程触发Linux服务器内核模块溢出漏洞，实现远程拒绝服务攻击。

漏洞评级

CVE-2019-11477高危

CVE-2019-11478中危

CVE-2019-11479中危

安全修复建议

注：以下任意一种修复方式都有可能造成业务不可用

一、缓解型处理方式

为了缓解CVE-2019-11477和CVE-2019-11478的影响，可以禁用存在安全漏洞的组件，或通过防火墙丢弃那些使用可以被漏洞利用的MSS值的连接。具体请参阅https://access.redhat.com/zh_CN/security/vulnerabilities/4233431

1）禁用SACK机制功能

echo 0 > /proc/sys/net/ipv4/tcp_sack

或

sysctl -w net.ipv4.tcp_sack=0

2）禁用SACK机制功能

firewall-cmd防火墙执行以下命令：

# firewall-cmd --permanent --direct--add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500-j DROP

# firewall-cmd --permanent --direct--add-rule ipv6 filter INPUT 0 -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500-j DROP

# firewall-cmd --reload

# firewall-cmd --permanent --direct--get-all-rules

iptables防火墙执行以下命令：

# iptables -I INPUT -p tcp --tcp-flagsSYN SYN -m tcpmss --mss 1:500 -j DROP

# ip6tables -I INPUT -p tcp --tcp-flagsSYN SYN -m tcpmss --mss 1:500 -j DROP

# iptables -nL -v

# ip6tables -nL -v

二、更新kernel(需要重启服务器)

Ubuntu系列：apt-get update&& sudo apt-get install linux-image-generic

Centos系列：yum updatekernel