Aviso de seguridad de Debian
DSA-4272-1 linux -- actualización de seguridad
- Fecha del informe:
- 14 de ago de 2018
- Paquetes afectados:
- linux
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2018-5391.
- Información adicional:
-
- CVE-2018-5391 (FragmentSmack)
Juha-Matti Tilli descubrió un defecto en la manera en la que el kernel Linux gestionaba el reensamblado de paquetes fragmentados IPv4 e IPv6. Un atacante remoto puede aprovechar este defecto para desencadenar el uso de algoritmos de reensamblado de fragmentos que resultan costosos en términos de tiempo y de cálculo, mediante el envío de paquetes preparados de una manera determinada, dando lugar a denegación de servicio remota.
Esto se mitiga reduciendo los límites por omisión de uso de memoria para paquetes fragmentados incompletos. Se puede conseguir la misma mitigación sin necesidad de reiniciar, estableciendo los sysctls:
net.ipv4.ipfrag_low_thresh = 196608
net.ipv6.ip6frag_low_thresh = 196608
net.ipv4.ipfrag_high_thresh = 262144
net.ipv6.ip6frag_high_thresh = 262144
De todas formas, los valores por omisión se pueden aumentar en la configuración local si es necesario.
Para la distribución «estable» (stretch), este problema se ha corregido en la versión 4.9.110-3+deb9u2.
Le recomendamos que actualice los paquetes de linux.
Para información detallada sobre el estado de seguridad de linux consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/linux
- CVE-2018-5391 (FragmentSmack)