Correction de la vulnérabilité FragmentSmack dans le noyau Linux

Une vulnérabilité, connue sous le nom de FragmentSmack, a été corrigée dans la pile IP du noyau Linux. Elle pourrait permettre à un attaquant distant non authentifié de provoquer un déni de service sur un périphérique en lui envoyant un flux de paquets IPv4 ou IPv6 fragmentés spécialement conçus. 

Cette vulnérabilité est due à des algorithmes de réassemblage de fragments IPv4 et IPv6 défectueux dans la pile IP utilisée par le noyau.

Informations
+

Risques

  • Déni de service

Criticité

  • CVSS v3 : 7.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Les versions du noyau Linux 3.9 et ultérieures sont connues pour être affectées par cette vulnérabilité.

CVE

  • CVE-2018-5391

Recommandations
+

Correctifs

  • Des correctifs sont disponibles auprès des fournisseurs de systèmes d'exploitation pour corriger cette vulnérabilité.

Solution de contournement

  • Modifier les valeurs (par défaut) de net.ipv4 / ipv6.ipfrag_high_thresh et net.ipv4 / ipv6.ipfrag_low_thresh à 256 Ko et 192 Ko respectivement. .
  • Exemples:
    • sysctl -w net.ipv4.ipfrag_low_thresh = 196608 
    • sysctl -w net.ipv4.ipfrag_high_thresh = 262144
    • sysctl -w net.ipv6.ip6frag_low_thresh = 196608
    • sysctl -w net.ipv6.ip6frag_high_thresh = 262144