CVE-2015-5364の問題を緩和する要素は何ですか?
CVE-2015-5364は、ホストオペレーティングシステムとそのアプリケーションに対する処理サイクルを拒否するために使用できるLinuxカーネルのUDPベースのDoS脆弱性について説明しています。
https://access.redhat.com/security/cve/CVE-2015-5364
Linuxカーネルのネットワーク実装が不正なチェックサム値を持つUDPパケットを処理する方法に欠陥が見つかりました。リモートの攻撃者は、この欠陥を利用してカーネルで無限ループをトリガーし、システムでサービス拒否を引き起こしたり、Edgeトリガーのepoll機能を使用するアプリケーションでサービス拒否を引き起こしたりする可能性があります。
私は Debianがこれに対する修正をリリースした であることに気付いたが、 Redhatはまだそうではない であり、彼らはこれをCriticalではなくImportantとして分類している。重要なことは リモートエクスプロイトには何らかの緩和要因があるはずです ですが、リスクを軽減するものを説明するのに役立つ情報はありません。
これらすべては穏やかに懸念されていますが、インターネット(または少なくともGoogle)に問題がないため、スマートセキュリティの人々はそれほど心配していないと思わざるを得ません。残念ながら、私は彼らほど賢くない!
さらに情報を得るためにRedhatを絞り続けてうれしいです(結果が出始めたらこのQ&Aを更新します)が、Security.SEがこれを理解するために役立つかもしれないと考えました。カプセル化されたプロトコルのヘッダーに不正なチェックサムが含まれているため、ルーターがパケットをドロップすることはないと思います。このCVEが大したものにならない理由は何ですか。
それが重要で重要ではない理由は、緩和要因があるためではありません。重要の説明は次のとおりです。
この評価は、リソースの機密性、整合性、または可用性を簡単に損なう可能性がある欠陥に与えられます。これらは、ローカルユーザーが特権を取得したり、認証されていないリモートユーザーが認証によって保護されるべきリソースを表示したり、認証されたリモートユーザーが任意のコードを実行したり、リモートユーザーがサービス拒否を引き起こしたりできるようにする脆弱性の種類です。
これがまさにこの欠陥です。クリティカルとは次のことを意味するため、現時点ではクリティカルとして分類されていません。
ユーザーの操作を必要とせずにシステムの侵害(任意のコード実行)につながる
この脆弱性の場合、任意のコードが実行されることはありません。基本CVSSメトリックを見ると、次のようになります。 AV:N/AC:M/Au:N/C:N/I:N/A:C マシンの可用性への妥協点があります。現在、完全性または機密性に対する妥協はありません。
現在のところ、Red Hat自体では軽減要因を利用できない可能性がありますが、UDPパケットをマシンに送信する必要があることを考慮して、ファイアウォールを簡単に構成できます(インターネットに面したマシンの前と内部ネットワークにファイアウォールを設定するとよいでしょう) UDPパケットをドロップするためのゾーン境界ポイント)。