Disclaimer:
Поступила информация о возможной серьезной уязвимости в работе стека TCP/IP в системах Linux. Уязвимость присутствует в работе процесса SACK (Selective Acknowledgements/Выборочное Подтверждение).
SACK используется для облегчения работы мобильных пользователей с публично доступными сервисами. SACK позволяет производить повторную
передачу лишь отдельных, не подтвержденных фрагментов, а не всего TCP-окна, как это реализовано в старых стандартах. По-умолчанию данная опция включена в новых версия Linux.
На данный момент CVE нет, но ожидается в ближайшие время. Мы рекомендуем вам выключить поддержку данной опции (net.ipv4.tcp_sack=0), если в ней нет необходимости.
Подробнее про SACK:
https://tools.ietf.org/html/rfc2883