执行概要

在Linux内核处理TCP网络时发现了三个相关的缺陷。最严重的漏洞可能允许远程攻击者在运行受影响软件的系统中触发kernel panic，从而影响系统的可用性。

问题已被分配多个CVE ： CVE-2019-11477 被认为是一个 重要 严重程度，CVE-2019-11478 和 CVE-2019-11479 被视为 适中 严重程度。

通过应用缓解措施或内核补丁来纠正这些问题。可以在本文的选项卡上找到缓解详细信息和RHSA advsories的链接。

问题详细信息和背景

在Linux内核处理具有低MSS大小的TCP选择性确认（SACK）数据包处理时发现了三个相关缺陷。据了解，影响程度仅限于拒绝服务。目前没有特权升级或信息泄露。

虽然本文中显示的缓解措施可用，但是，它们可能会影响来自合法来源的流量，这些来源需要较低的MSS值才能正确传输和系统性能。请在应用前评估适合系统环境的缓解方法。

什么是选择性确认？

TCP选择性确认（SACK）是一种机制，数据接收方可以通知发送方有关已成功接受的所有段。禁用TCP SACK时，需要一组较大的重传来重新传输完整的流。

什么是MSS

最大段大小(MSS )是在包的TCP头中设置的参数，它指定重建的TCP段中包含的数据总量，
在跨不同路由传输数据包时，主机必须指定主机可以处理的最大IP数据报负载大小，非常大的MSS大小可能意味着数据包流在到达目的地的路上最终会被分段，而且较小的数据包可以确保较少的分段，但是，最终会导致未使用的开销。

操作系统和传输类型默认为指定的MSS大小，具有特权访问权限的攻击者可以创建原始包，在包中使用特制的MSS选项来创建这个攻击。

行动起来吧

强烈建议运行这些受影响版本的Red Hat产品的客户，在勘误表可用时立即更新它们。建议客户立即应用可用更新，并在他们认为合适的情况下启用缓解措施。

运行受支持的Red Hat Enterprise Linux 7或更高版本的客户的可以使用kpatch。请打开一个支持案例以获取对kpatch的访问权限。

有关kpatch的更多详细信息： RHEL 7 和更高版本中的内核补丁(kpatch )支持？

受影响产品的更新