https://opennet.ru/openforum/vsluhforumID3/117262.html В ядре Linux выявлена (https://seclists.org/oss-sec/2019/q2/86) уязвимость (CVE-2019-11683 (https://security-tracker.debian.org/tracker/CVE-2019-11683)), позволяющая удалённо вызвать отказ в обслуживании через отправку специально оформленных UDP-пакетов (packet-of-death). Проблема вызвана ошибкой в обработчике udp_gro_receive_segment (net/ipv4/udp_offload.c) с реализацией технологии GRO (Generic Receive Оffload) и может привести к повреждению содержимого областей памяти ядра при обработке UDP-пакетов с нулевым заполнением (пустой payload).<br><br><br>Проблема затрагивает только ядро 5.0 (https://www.opennet.ru/opennews/art.shtml?num=50201), так как поддержка GRO для UDP-сокетов была реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=e20cf8d3f1f7) в ноябре прошлого года и успела попасть только в последний стабильный выпуск ядра. Технология GRO позволяет ускорить обработку большого числа входящих пакетов, благодаря агрегированию нескольких пакетов в более крупные блоки, не требу https://opennet.ru/openforum/vsluhforumID3/117262.html#107 Sun, 05 May 2019 17:24:16 GMT &gt; Для включения GRO для сокетов UDP предложена новая опция (sockopt) UDP_GRO<br><br>Так софта еще нет с этим GRO, если только у гугля.<br>Думаю гугл эту опцию для QUIC / HTTP3 запилил в ядро, а то оно у них медленнее TCP ползало.<br> https://opennet.ru/openforum/vsluhforumID3/117262.html#106 Sun, 05 May 2019 10:40:14 GMT Спасибо за ответ.<br> https://opennet.ru/openforum/vsluhforumID3/117262.html#105 Sun, 05 May 2019 09:05:37 GMT И где ваш HURD теперь? Хотя Minix определённо взлетел, причём повыше винды с линуксом и бздями.<br> https://opennet.ru/openforum/vsluhforumID3/117262.html#104 Sun, 05 May 2019 08:05:44 GMT &gt; Если бы на Rust переписали таких банальных уязвимостей небыло бы и близко. <br><br>я бы с удовольствием посмотрел на бенчмарки ядра на растений и линукса<br>http://www.opennet.ru/opennews/art.shtml?num=50387<br> https://opennet.ru/openforum/vsluhforumID3/117262.html#103 Sun, 05 May 2019 04:37:17 GMT Отсутствие в UDP datagram Data PDU, с точки зрения NAT вообще не является проблемой, кроме возможно случаев когда используется Application Layer Gateway для конкретных протоколов. <br><br>В общем случае, такие пакеты не смогут достичь вашего домашнего компьютера. Поскольку хакеру нужно будет каким-то образом вклиниться в обмен между приложениями, а поскольку порт источника выбирается динамически, да и в зависимости от реализации NAT может ещё и меняться, то сделать это достаточно сложно. <br> https://opennet.ru/openforum/vsluhforumID3/117262.html#102 Sun, 05 May 2019 00:16:44 GMT &gt; Нет и никогда.<br><br>Н-да? А если фикс бага не бекпортирован в LTS из не-LTS? И фикс этот затрагивает определённый функционал, работа которого принципиальна... (?)<br> https://opennet.ru/openforum/vsluhforumID3/117262.html#101 Sun, 05 May 2019 00:08:32 GMT Но дома вполне... у меня Fedora 29, там 5.0.10 уже.<br> https://opennet.ru/openforum/vsluhforumID3/117262.html#100 Sat, 04 May 2019 21:21:20 GMT &gt; с чего вы решили, если в состав дистрибутивов уже оно вошло?<br><br>В Gentoo можно много чего свежего наставить, если настроить определённым образом. Вопрос только в том, зачем, если ты не тестер. Ubuntu у меня на малинке и на виртуалках в интернете. Там 4 ветка ядра. Пробовал другие дистрибутивы, там вообще всё древнее как го-но мамонта.<br> https://opennet.ru/openforum/vsluhforumID3/117262.html#99 Sat, 04 May 2019 21:18:03 GMT &gt; генту.<br><br>Ну это надо разрешать ставить что-то свежее, чем обычно ставится, а ставится 4.19 сейчас. Если это делаешь и выставляешь в интернет, ССЗБ.<br>