Hlavní navigace

Laboratoře CZ.NIC odhalily závažnou zranitelnost v linuxovém jádře

Redakce

Dvě chyby v jádře mohou umožnit vzdáleně vyvolat pád jádra, pošlete‑li určitým způsobem nesprávně zformátovaný fragment paketu podle IPv6.

V rámci vývoje a testování softwaru pro nový router Turris odhalili členové vývojového týmu CZ.NIC nebezpečnou chybu v linuxovém jádře. Ta umožňuje vzdáleně způsobit „kernel panic“. Pád jádra lze vyvolat posláním vhodně zformátovaných fragmentů IPv6. Podle názoru Tomáše Hlaváčka z CZ.NIC může být chyba základem pro útoky DoS.

Ve skutečnosti jde o dvě chyby v různých částech linuxového jádra, které mohou nastat při zpracování IPv6 datagramu s nesprávně vyplněnou fragmentační hlavičkou. První chyba je známa od května 2011 pod označením CVE‑2011‑1927 a byla opravena ve verzi 2.6.38.9 linuxového jádra. Pravděpodobně však došlo k jejímu návratu. Druhá zranitelnost nebyla dosud známa a týká se Netfilteru — linuxového firewallu, který sestavuje IP packety. Chybu jsme ohlásili v patřičném mailinglistu a na vytvoření záplaty spolupracujeme s vývojáři linuxového TCP/IP stacku a Netfilteru,“ píše na blogu CZ.NIC Tomáš Hlaváček.

Našli jste v článku chybu?