Уязвимость, существующая в пакетном фильтре, может позволить нападающему обойти некоторые правила, если разрешено использование syn cookies.
При обработке запросов в режиме syn-flood защиты, правила фильтра для TCP пакетов с syn flag (запрос соединения) не обрабатываются должным образом. Если нападающий сможет определить правильный syn cookie ответ, то он сможет получить доступ к сервисам, фильтрующихся при других способах связи.
В качестве временного решения запретите syn cookie:
echo 0 > /proc/sys/net/ipv4/tcp_syncookies
Уязвимость найдена в Linux kernel 2.0.x (0-39), 2.2.x (0-10).
