Bulletin d'alerte Debian

DSA-4272-1 linux -- Mise à jour de sécurité

Date du rapport :

14 août 2018

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-5391.

Plus de précisions :

CVE-2018-5391 (FragmentSmack)
Juha-Matti Tilli a découvert un défaut dans la manière dont le noyau Linux gérait le réassemblage de paquets IPv4 et IPv6 fragmentés. Un attaquant distant peut tirer avantage de ce défaut pour déclencher des algorithmes de réassemblage de fragments coûteux en temps et en calcul en envoyant des paquets contrefaits pour l'occasion, menant à un déni de service distant.

Ce défaut est atténué en réduisant les limites par défaut d'utilisation de la mémoire pour des paquets fragmentés incomplets. La même atténuation peut être obtenue sans nécessiter de redémarrage, en réglant sysctls :
net.ipv4.ipfrag_low_thresh = 196608 net.ipv6.ip6frag_low_thresh = 196608 net.ipv4.ipfrag_high_thresh = 262144 net.ipv6.ip6frag_high_thresh = 262144
Les valeurs par défaut peuvent encore être augmentées par une configuration locale si nécessaire.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 4.9.110-3+deb9u2.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.