Quali sono i fattori attenuanti per CVE-2015-5364?

5

CVE-2015-5364 descrive una vulnerabilità DoS basata su UDP nel kernel Linux che può essere utilizzata per negare i cicli di elaborazione al sistema operativo host e alle sue applicazioni.

link

A flaw was found in the way the Linux kernel's networking implementation handled UDP packets with incorrect checksum values. A remote attacker could potentially use this flaw to trigger an infinite loop in the kernel, resulting in a denial of service on the system, or cause a denial of service in applications using the edge triggered epoll functionality.

Ho notato che Debian ha rilasciato una correzione per questo , ma Redhat non ha ancora , e lo classificano come Importante invece che Critico. Importante implica che dovrebbe essere una sorta di fattore attenuante per l'exploit remoto , ma nessuna delle informazioni Posso trovare ha fatto un buon lavoro di spiegare ciò che sta riducendo il rischio.

Tutto questo è leggermente preoccupante, ma dal momento che Internet (o almeno Google) non è in fiamme, sono costretto a pensare che le persone di Smart Security non siano terribilmente preoccupate. Sfortunatamente, non sono intelligente come loro!

Mentre sono felice di continuare a spremere Redhat per ulteriori informazioni (e aggiornerò questo Q & A se questo inizia a dare risultati), ho pensato che forse Security.SE potrebbe dare una mano qui con la comprensione di questo. Non penso che i router lascerebbero cadere i pacchetti perché i checksum errati sono nell'header per il protocollo incapsulato, quindi cosa impedisce a questo CVE di essere un grosso problema?

    
posta Andrew B 11.08.2015 - 01:41
fonte

1 risposta

2

Il motivo per cui è importante e non critico non è perché ci sono fattori attenuanti. La descrizione di Importante è:

This rating is given to flaws that can easily compromise the confidentiality, integrity, or availability of resources. These are the types of vulnerabilities that allow local users to gain privileges, allow unauthenticated remote users to view resources that should otherwise be protected by authentication, allow authenticated remote users to execute arbitrary code, or allow remote users to cause a denial of service.

Che è esattamente ciò che questo difetto è. Al momento non è classificato come critico perché critico implicherebbe:

lead to system compromise (arbitrary code execution) without requiring user interaction

In caso di questa vulnerabilità non esiste l'esecuzione di codice arbitrario. Se si osservano le metriche CVSS di base: AV: N / AC: M / Au: N / C: N / I: N / A: C C'è solo un compromesso per la disponibilità della macchina . Non c'è attualmente alcun compromesso per l'integrità o la riservatezza.

I fattori attenuanti potrebbero non essere disponibili al momento su Red Hat stesso, ma considerando che è necessario inviare un pacchetto UDP alla macchina, è possibile configurare facilmente il firewall (che si spera abbia di fronte alle macchine di fronte a Internet e in i punti di demarcazione delle zone di rete interne) per eliminare i pacchetti UDP.

    
risposta data 11.08.2015 - 08:25
fonte

Leggi altre domande sui tag