近日，業內發布安全公告，Linux 內核在處理 TCP SACK(Selective Acknowledgement)時存在三個漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479)，攻擊者可通過該漏洞遠程發送攻擊包造成拒絕服務攻擊，影響程度嚴重。

影響范圍：
該漏洞目前已知影響使用 Linux 內核 2.6.29 及以上版本的發行版，包括（但不限于）如下系統：
CentOS 5/CentOS 6/CentOS 7
Ubuntu 16.04 LTS/Ubuntu 18.04 LTS
Debian jessie/stretch/buster

修復辦法：
1. 禁用 TCP SACK 及 mtu_probing 機制功能，執行如下命令：
echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0
echo 0 > /proc/sys/net/ipv4/tcp_mtu_probing
sysctl net.ipv4.tcp_mtu_probing
iptables -A INPUT -p tcp -m tcpmss –mss 1:500 -j DROP

2. 升級 Linux 安全補丁(需要重啟服務器)
Centos：yum update kernel
Ubuntu：apt-get update && sudo apt-get install linux-image-generic

注意：
以上修復方式，請在操作前評估對業務可用性的影響

參考資料：
[Netflix 通告] (https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md)
[RedHat 通告] (https://access.redhat.com/security/vulnerabilities/tcpsack)
[Canonical 通告] (https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic)