Эхлэл Бүгдийг харах Тусламж
Бүртгүүлэх Нэвтрэх
phyus
/
linux-vybrid_public
8
0
Салаа 0
Файлууд Асуудлууд 0 Хуулах хүсэлтүүд 0 Мэдлэгийн сан
Эх сурвалжийг харах

[IPSEC]: Do not let packets pass when ICMP flag is off

This fixes a logical error in ICMP policy checks which lets
packets through if the state ICMP flag is off.

Signed-off-by: Herbert Xu <herbert@gondor.apana.org.au>
Signed-off-by: David S. Miller <davem@davemloft.net>
Herbert Xu 17 жил өмнө
parent
bb72845e69
commit
aebcf82c1f
2 өөрчлөгдсөн 10 нэмэгдсэн , 4 устгасан
Өөрчлөлтийг ялгаж харах Өөрчлөлтийн статистик харах
  1. 5 2
      net/ipv4/icmp.c
  2. 5 2
      net/ipv6/icmp.c

+ 5 - 2
net/ipv4/icmp.c
Файл харах 

@@ -977,10 +977,13 @@ int icmp_rcv(struct sk_buff *skb)
 
 	struct icmphdr *icmph;
 
 	struct rtable *rt = (struct rtable *)skb->dst;
 
 
-	if (!xfrm4_policy_check(NULL, XFRM_POLICY_IN, skb) && skb->sp &&
 
-	    skb->sp->xvec[skb->sp->len - 1]->props.flags & XFRM_STATE_ICMP) {
 
+	if (!xfrm4_policy_check(NULL, XFRM_POLICY_IN, skb)) {
 
 		int nh;
 
 
+		if (!(skb->sp && skb->sp->xvec[skb->sp->len - 1]->props.flags &
 
+				 XFRM_STATE_ICMP))
 
+			goto drop;
 
+
 
 		if (!pskb_may_pull(skb, sizeof(*icmph) + sizeof(struct iphdr)))
 
 			goto drop;

+ 5 - 2
net/ipv6/icmp.c
Файл харах 

@@ -644,10 +644,13 @@ static int icmpv6_rcv(struct sk_buff *skb)
 
 	struct icmp6hdr *hdr;
 
 	int type;
 
 
-	if (!xfrm6_policy_check(NULL, XFRM_POLICY_IN, skb) && skb->sp &&
 
-	    skb->sp->xvec[skb->sp->len - 1]->props.flags & XFRM_STATE_ICMP) {
 
+	if (!xfrm6_policy_check(NULL, XFRM_POLICY_IN, skb)) {
 
 		int nh;
 
 
+		if (!(skb->sp && skb->sp->xvec[skb->sp->len - 1]->props.flags &
 
+				 XFRM_STATE_ICMP))
 
+			goto drop_no_count;
 
+
 
 		if (!pskb_may_pull(skb, sizeof(*hdr) + sizeof(*orig_hdr)))
 
 			goto drop_no_count;