Линуксийн цөмийн сүлжээний стек дэх CVE-2023-6200) эмзэг байдлын талаарх мэдээлэл ил болсон бөгөөд энэ нь тодорхой нөхцөлд дотоод сүлжээний халдагчдад тусгайлан боловсруулсан ICMPv6 пакет илгээж өөрийн кодоо гүйцэтгэх боломжийг олгодог. чиглүүлэгчийн талаарх мэдээллийг сурталчлах зорилготой RA (Router Advertisement) мессеж.
Энэ эмзэг байдлыг зөвхөн дотоод сүлжээнээс ашиглах боломжтой бөгөөд IPv6 дэмжлэгийг идэвхжүүлсэн, sysctl параметр "net.ipv6.conf.<network_interface_name>.accept_ra" идэвхтэй ("sysctl net.ipv6.conf" командаар шалгаж болно) системд гарч ирнэ. | grep accept_ra”) нь гадаад сүлжээний интерфэйсийн хувьд RHEL болон Ubuntu-д анхдагчаар идэвхгүй, харин ижил системээс халдлага үйлдэх боломжийг олгодог буцах интерфэйс дээр идэвхжсэн.
Эмзэг байдал нь хог цуглуулагч хуучирсан fib6_info бичлэгийг боловсруулах үед уралдааны нөхцөл байдлаас үүдэлтэй бөгөөд энэ нь аль хэдийн суллагдсан санах ойн хэсэгт хандахад хүргэдэг (үнэгүй дараа ашиглах). Чиглүүлэгчийн сурталчилгааны мессеж бүхий ICMPv6 багцыг (RA, Router Advertisement) хүлээн авах үед сүлжээний стек нь ndisc_router_discovery() функцийг дууддаг бөгөөд хэрэв RA мессеж нь маршрутын ашиглалтын хугацааны талаарх мэдээллийг агуулсан бол fib6_set_expires() функцийг дуудаж, gc_link-ыг дүүргэдэг. бүтэц. Хуучирсан оруулгуудыг цэвэрлэхийн тулд gc_link дахь оруулгыг салгаж, fib6_info бүтцэд ашигласан санах ойг цэвэрлэх fib6_clean_expires() функцийг ашиглана уу. Энэ тохиолдолд fib6_info бүтцийн санах ойг аль хэдийн сулласан тодорхой мөч байдаг, гэхдээ үүнтэй холбогдох холбоос нь gc_link бүтцэд хэвээр байна.
Энэ эмзэг байдал нь 6.6 салбараас эхэлсэн бөгөөд 6.6.9 ба 6.7 хувилбаруудад засварлагдсан. Түгээлтийн сул талыг засах статусыг Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware гэсэн хуудаснаас үнэлж болно. 6.6 цөмтэй багцуудыг илгээдэг түгээлтийн дунд бид Arch Linux, Gentoo, Fedora, Slackware, OpenMandriva болон Manjaro-г тэмдэглэж болно; бусад түгээлтийн хувьд алдаатай өөрчлөлтийг хуучин цөмийн мөчрүүдтэй багцууд руу буцаах боломжтой. Жишээ нь, Debian-д 6.5.13 цөмтэй багц эмзэг байдаг бол 6.6 салбар дээр асуудалтай өөрчлөлт гарсан гэж дурдсан байдаг). Аюулгүй байдлын асуудлыг шийдэхийн тулд та IPv6-г идэвхгүй болгох эсвэл “net.ipv0.conf.*.accept_ra” параметрийг 6 болгож тохируулж болно.
Эх сурвалж: opennet.ru