2019 年 6 月 18 日，RedHat 官网发布报告：安全研究人员在 Linux 内核处理 TCP SACK 数据包模块中发现了三个漏洞，CVE 编号为 CVE-2019-11477、CVE-2019-11478 和CVE-2019-11479。

对于低版本kernel内核很有可能被该漏洞利用，可以对内核升级操作。

需自行准备： HTTP服务器软件。

      测试成功的Linux版本有：

• CentOS 6.5 (Final)
• Red Hat Enterprise Linux Server release 7.3 (Maipo)

其它Linux内核操作系统请自行评估测试！

本次升级需要对操作系统进行重启，如果内核不支持可进行回退，但是必须做好升级的数据备份工作。远程升级有风险！需准备物理屏或KVM。

修复建议

（1）及时更新补丁：https://github.com/Netflix/security-bulletins/tree/m

aster/advisories/third-party/2019-001。

（2）禁用 SACK 处理

echo 0 > /proc/sys/net/ipv4/tcp_sack

（3）使用过滤器来阻止攻击

https://github.com/Netflix/security-bulletins/blob/master/advisories/t

hird-party/2019-001/block-low-mss/README.md

此缓解需要禁用 TCP 探测时有效（即在/etc/sysctl.conf 文件中将 net.ipv4.tc

p_mtu_probingsysctl 设置为 0）

（4）RedHat 用户可以使用以下脚本来检查系统是否存在漏洞

https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh

参考链接

https://access.redhat.com/security/vulnerabilities/tcpsack

升级方案