Debians sikkerhedsbulletin
DSA-4272-1 linux -- sikkerhedsopdatering
- Rapporteret den:
- 14. aug 2018
- Berørte pakker:
- linux
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2018-5391.
- Yderligere oplysninger:
-
- CVE-2018-5391 (FragmentSmack)
Juha-Matti Tilli opdagede en fejl i den måde Linux-kernen håndterede gensamling af fragmenterede IPv4- og IPv6-pakker. En fjernangriber kunne drage nytte af fejlen til at udløse tids- og beregningsmæssigt dyre beregningsalgoritmer til gensamling af fragmenter, ved at sende særligt fremstillede pakker, førende til fjernudført lammelsesangreb.
Det er afhjulpet ved at reducere standardbegrænsningerne på hukommelsesforbrug ved ufuldstændige, fragmenterede pakker. Den afhjælpelse kan opnås uden behov for genstart, ved at opsætte sysctl'erne:
net.ipv4.ipfrag_low_thresh = 196608
net.ipv6.ip6frag_low_thresh = 196608
net.ipv4.ipfrag_high_thresh = 262144
net.ipv6.ip6frag_high_thresh = 262144
Det er fortsat muligt at forøge standardværdierne den lokale opsætning, om nødvendigt.
I den stabile distribution (stretch), er dette problem rettet i version 4.9.110-3+deb9u2.
Vi anbefaler at du opgraderer dine linux-pakker.
For detaljeret sikkerhedsstatus vedrørende linux, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/linux
- CVE-2018-5391 (FragmentSmack)