Linuxカーネルにおいて、以下の脆弱性が修正されました。netfilterのconntrackに関する誤ったct-timeout値の問題です。struct nf_connのtimeoutは、conntrackが確認される前は時間間隔を示し、確認後はタイムスタンプとなります。確認されていないconntrackのtimeoutは、ctnetlink_change_timeout()の呼び出しによって設定されていました。その結果、nfct_time_stampがct-timeoutに二重に加算されていました。また、ctnetlink_dump_timeout()の呼び出しによりtimeoutを取得する際に、nfct_time_stampが誤って減算されていました。呼び出しトレースは以下の通りです：dump_stack_lvl、ctnetlink_dump_timeout、__ctnetlink_glue_build、ctnetlink_glue_build、__nfqnl_enqueue_packet、nf_queue、nf_hook_slow、ip_mc_output、__pfx_ip_finish_output、ip_send_skb、__pfx_dst_output、udp_send_skb、udp_sendmsg、__pfx_ip_generic_getfrag、sock_sendmsg。処理は二つの場合に分かれます。ひとつは__nf_ct_set_timeout()内でのct-timeoutの設定、もうひとつはctnetlink_dump_timeout()内でのct-timeoutの取得です。Pabloによる追記では、IP_CONFIRMEDフラグが設定された後にtimeoutを設定するようにctnetlinkを更新しなければ、ctnetlink経由のconntrack作成が正常に動作しなくなる旨が説明されています。このパッチで説明された問題は、nfnetlink_queue conntrackサポートの導入以降に発生しているため、stableカーネルでこの修正を取り込む際には十分古いFixesタグを選択してください。

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。