代号为CVE-2018-5391的FragmentSmack在8月间首次为CERT/CC揭露，影响Linux核心3.9以上版本。远程攻击者可传送低速的恶意IP封包，影响数据片段重组（fragment reassembly）过程引发DoS攻击，使CPU容量超载而导致系统停止回应。这种手法已经流行数年，也已有修补程序。

之前FragmentSmack只影响Windows系统，最新漏洞则连Linux也遭殃。Akamai、Amazon、Juniper Networks及Linux厂商也相继发布修补程序。

思科随后调查旗下使用Linux核心3.9版以上的产品，并于本周公布受影响产品名单。包括Cisco IOS XE软件、多款vEdge路由器系列、Nexus交换机系列和Aironet AP产品等网络及管理设备、Telepresence视讯产品、WLAN设备共88项产品受到影响。

鉴于涉及到的产品线不同，补丁预计会在2018年9月到2019年2月之间陆续发出。而在此之前，思科建议网管人员使用限速措施，如访问控制列表（ACL）或CoPP（Control Plane Policing）来控制进入的IP封包片段。另外，使用外部防火墙或网站前端设备中的ACL也能有效控制IP片段的进入，算是临时的安全防护方案吧。

原文来自：http://news.mydrivers.com/1/596/596689.htm

本文地址：https://www.linuxprobe.com/sike-linux-dos.html编辑：周晓雪，审核员：逄增宝

本文原创地址：https://www.linuxprobe.com/sike-linux-dos.html编辑：public，审核员：暂无