製品・ソフトウェアに関する情報

JVN脆弱性詳細

Linux Kernel の IP スタックにおけるサービス運用妨害 (DoS) の脆弱性

タイトル	Linux Kernel の IP スタックにおけるサービス運用妨害 (DoS) の脆弱性
概要	Linux Kernel の IP スタックには、サービス運用妨害 (スタックの消費およびパニック) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。本脆弱性は、CVE-2016-7039 と関連する問題です。補足情報 : CWE による脆弱性タイプは、CWE-400: Uncontrolled Resource Consumption (リソースの枯渇) と識別されています。 http://cwe.mitre.org/data/definitions/400.html
想定される影響	第三者により、tunnel スタックされたパケットに対して GRO パスの使用を誘発されることで、サービス運用妨害 (スタックの消費およびパニック) 状態にされるなど、不特定の影響を受ける可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年3月20日0:00
登録日	2016年10月25日11:50
最終更新日	2016年10月25日11:50

影響を受けるシステム

Linux

Linux Kernel 4.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-8666	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8666
National Vulnerability Database (NVD)
2	CVE-2016-8666	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8666

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Bugzilla
1	Bug 1001486	https://bugzilla.suse.com/show_bug.cgi?id=1001486
GitHub
2	tunnels: Don't apply GRO to multiple layers of encapsulation	https://github.com/torvalds/linux/commit/fac8e0f579695a3ecbc4d3cac369139d7f819971
Linux Kernel
3	Linux Kernel Archives	http://www.kernel.org
Linux kernel source tree
4	tunnels: Don't apply GRO to multiple layers of encapsulation	http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=fac8e0f579695a3ecbc4d3cac369139d7f819971
Red Hat Bugzilla
5	Bug 1384991	https://bugzilla.redhat.com/show_bug.cgi?id=1384991

その他

No	名前	URL
関連文書
1	CVE Request: another recursion in GRE	http://www.openwall.com/lists/oss-security/2016/10/13/11

変更履歴

No	変更内容	変更日
0	[2016年10月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-8666

概要	The IP stack in the Linux kernel before 4.6 allows remote attackers to cause a denial of service (stack consumption and panic) or possibly have unspecified other impact by triggering use of the GRO path for packets with tunnel stacking, as demonstrated by interleaved IPv4 headers and GRE headers, a related issue to CVE-2016-7039.
公表日	2016年10月17日6:59
登録日	2021年1月26日14:18
最終更新日	2024年11月21日11:59

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	refsource	タグ
1	http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=fac8e0f579695a3ecbc4d3cac369139d7f819971
2	http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=fac8e0f579695a3ecbc4d3cac369139d7f819971
3	http://rhn.redhat.com/errata/RHSA-2016-2047.html
4	http://rhn.redhat.com/errata/RHSA-2016-2047.html
5	http://rhn.redhat.com/errata/RHSA-2016-2107.html
6	http://rhn.redhat.com/errata/RHSA-2016-2107.html
7	http://rhn.redhat.com/errata/RHSA-2016-2110.html
8	http://rhn.redhat.com/errata/RHSA-2016-2110.html
9	http://rhn.redhat.com/errata/RHSA-2017-0004.html
10	http://rhn.redhat.com/errata/RHSA-2017-0004.html
11	http://www.openwall.com/lists/oss-security/2016/10/13/11
12	http://www.openwall.com/lists/oss-security/2016/10/13/11
13	http://www.securityfocus.com/bid/93562
14	http://www.securityfocus.com/bid/93562
15	https://access.redhat.com/errata/RHSA-2017:0372
16	https://access.redhat.com/errata/RHSA-2017:0372
17	https://bto.bluecoat.com/security-advisory/sa134
18	https://bto.bluecoat.com/security-advisory/sa134
19	https://bugzilla.redhat.com/show_bug.cgi?id=1384991
20	https://bugzilla.redhat.com/show_bug.cgi?id=1384991
21	https://bugzilla.suse.com/show_bug.cgi?id=1001486
22	https://bugzilla.suse.com/show_bug.cgi?id=1001486
23	https://github.com/torvalds/linux/commit/fac8e0f579695a3ecbc4d3cac369139d7f819971
24	https://github.com/torvalds/linux/commit/fac8e0f579695a3ecbc4d3cac369139d7f819971

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html