Уязвимость, существующая в пакетном фильтре, может позволить нападающему обойти некоторые правила, если разрешено использование syn cookies. 

При обработке запросов в режиме syn-flood защиты, правила фильтра для TCP пакетов с syn flag (запрос соединения) не обрабатываются должным образом. Если нападающий сможет определить правильный syn cookie ответ, то он сможет получить доступ к сервисам, фильтрующихся при других способах связи.

В качестве временного решения запретите syn cookie:

echo 0 > /proc/sys/net/ipv4/tcp_syncookies 

Уязвимость найдена в Linux kernel 2.0.x (0-39), 2.2.x (0-10).



Оставить мнение