Информация по безопасности / 2018 / Информация о безопасности -- DSA-4272-1 linux

Рекомендация Debian по безопасности

DSA-4272-1 linux -- обновление безопасности

Дата сообщения:

14.08.2018

Затронутые пакеты:

linux

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2018-5391.

Более подробная информация:

• CVE-2018-5391 (FragmentSmack)

  Юха-Матти Тилли обнаружил уязвимость в способе, используемом ядром Linux для обработки восстановления фрагментированных пакетов IPv4 и IPv6. Удалённый злоумышленник может использовать эту уязвимость для вызова алгоритмов восстановления, требующих много временных и вычислительных ресурсов, путём отправки специально сформированных пакетов, что приводит к удалённому отказу в обслуживании.

  Вред от этой проблемы может быть снижен путём уменьшения ограничений по умолчанию на использование памяти для неполных фрагментированных пакетов. Того же эффекта можно достичь и без перезагрузки, установив следующие настройки sysctl:

  net.ipv4.ipfrag_low_thresh = 196608
net.ipv6.ip6frag_low_thresh = 196608
net.ipv4.ipfrag_high_thresh = 262144
net.ipv6.ip6frag_high_thresh = 262144


  Значения по умолчанию можно увеличить в случае необходимости в локальных настройках.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 4.9.110-3+deb9u2.

Рекомендуется обновить пакеты linux.

С подробным статусом поддержки безопасности linux можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/linux