Säkerhetsbulletin från Debian
DSA-4272-1 linux -- säkerhetsuppdatering
- Rapporterat den:
- 2018-08-14
- Berörda paket:
- linux
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2018-5391.
- Ytterligare information:
-
- CVE-2018-5391 (FragmentSmack)
Juha-Matti Tilli upptäckte en brist i sättet som Linuxkärnan hanterar återmontering av fragmenterade IPv4 och IPv6-paket. En fjärrangripare kan dra fördel av denna brist för att trigga tids- och kalkuleringsdyra fragmentåtermonteringsalgoritmer genom att skicka speciellt skapade paket, vilket leder till fjärröverbelastning.
Detta lindras genom att reducera standardbegränsningarna för minnesanvändning för ofullständiga fragmenterade paket. Samma lindringar kan nås utan behovet att starta om, genom att via sysctls sätta:
net.ipv4.ipfrag_low_thresh = 196608
net.ipv6.ip6frag_low_thresh = 196608
net.ipv4.ipfrag_high_thresh = 262144
net.ipv6.ip6frag_high_thresh = 262144
Standardvärdena kan fortfarande ökas genom lokal konfiguration om nödvändigt.
För den stabila utgåvan (Stretch) har detta problem rättats i version 4.9.110-3+deb9u2.
Vi rekommenderar att ni uppgraderar era linux-paket.
För detaljerad säkerhetsstatus om linux vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/linux
- CVE-2018-5391 (FragmentSmack)