背景信息：

2019年6月18日，国外某安全研究组织披露Linux 内核TCP SACK机制存在缺陷，可导致远程拒绝服务。CVE编号为CVE-2019-11477、CVE-2019-11478和CVE-2019-11479。

漏洞描述：

Linux 内核2.6.29及之后版本在处理TCP SACK机制时存在缺陷，导致整数溢出漏洞，攻击者可以构造特定的SACK包，远程触发Linux服务器内核模块溢出漏洞，实现远程拒绝服务攻击。

漏洞定级：

1. CVE-2019-11477 高危
2. CVE-2019-11478 中危
3. CVE-2019-11479 中危

漏洞影响范围：

1. Linux> = 2.6.29（CVE-2019-11477）
2. Linux <4.15/所有Linux版本（CVE-2019-11478）
3. 使用RACK TCP堆栈的FreeBSD 12（CVE-2019-5599）
4. 所有Linux版本（CVE-2019-11479）

漏洞处置建议：

1、禁用SACK机制功能，执行如下命令：

echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0

2、升级Linux安全补丁(需要重启服务器)

1. Ubuntu 系列：apt-get update && sudo apt-get install linux-image-generic
2. Centos 系列：yum update kernel
3. 其他Linux 补丁可参考：https://github.com/Netflix/security-bulletins/tree/master/advisories/third-party/2019-001

注意：内核漏洞的修复对业务会产生很多不可预见的风险，请一定慎重。

扩展知识引用：

RedHat系统用户可使用官方脚本检测漏洞是否存在：https://access.redhat.com/sites/default/files/cve-2019-11477--2019-06-17-1629.sh