Kernel linux a rischio di DoS

La versione 2.6.20.3 del kernel linux rimuove due vulnerabilità nel modulo Netfilter, che consentivano di mandare in crash il sistema e di aggirare alcune regole di filtering. Il deferenziare un puntatore a NULL nel modulo net/netfilter/nfnetlink_log.c portava ad un kernel panic. Il crash stando alle poche informazioni riportate si poteva ottenere inviando al sistema un pacchetto modificato.
Già col kernel 2.6.20.2 era stato rimosso un problema di NULL pointer nella funzione ipv6_getsockopt_sticky nel modulo net/ipv6/ipv6_sockglue.c. Anche in questo caso era possibile provocare un kernel panic.
In alcune distribuzioni linux questo problema era stato corretto direttamente dai produttori stessi con nuovi packages del kernel.
Anche il disabilitare il supporto IPv6 può essere una “soluzione” al problema.
Sempre relativamente alla versione 2.6.20.3 è stato risolto un bug alla funzione ipv6_conntack_in nel modulo net/ipv6/netfilter/nf_conntrack_l3proto_ipv6.c che consentiva a frammenti IPv6 di essere classificati come “established”. Ciò consentiva di creare una connessione dall’esterno, nonostante le regole di filtering non lo consentissero.

CHANGELOG Kernel 2.6.20.3

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *