The algorithm managing the fragmented IP packets reassembling turned out not to be efficient enough when it is about small fragmented packets. A Denial of Service attack could be possible following a too high CPU usage.
According to our investigations, iptables/netfilter is not mitigating the issue.
b. What's the impact?
The impact is only about availability of your services.
This CVE is not about corruption, data loss or privilege escalation.
c. What services are impacted?
Only servers and virtual machines running a Linux Kernel 3.9 and above are concerned.
Some services, which are entirely managed by OVH, will not require any manipulation on your part: Domains, Metrics and Logs Data Platform, xDSL, VoIP, DBaaS, OVH Load Balancer, vRack, Exchange, MX Plan, Web Hosting, Cloud Desktop, VDI, CDN, Swift, CEPH, NAS-HA, Public Cloud Storage and Public Cloud Archive.
For Dedicated Servers, Public Cloud, VPS and Dedicated Cloud, update your kernel by using the last upstream or OVH kernel if you are using it (4.9.120 and 4.14.63 are available on our mirrors and mitigate the issue). This guide will help you get through the process: https://docs.ovh.com/ie/en/dedicated/updating-kernel-dedicated-server/ .
To buy you more time to upgrade your infrastructure, we have implemented some specific mitigations for this vulnerability at the VAC level (Anti-DDoS).
------------ FR -------------
Un défaut de conception dans les noyaux Linux supérieurs ou égaux à 3.9 a été identifié et peut engendrer un problème de disponibilité de votre serveur.
L'algorithme de gestion des paquets IP fragmentés s'avère peu performant lorsqu'il est soumis au réordonnancement de beaucoup de petits paquets fragmentés. Un risque de \"Déni de Service\" est donc possible faisant suite à une sollicitation CPU trop importante.
D'après nos recherches, les pare-feux (iptables/netfilter) ne mitigent pas l'attaque.
b. Quel est l'impact ?
L'impact réside uniquement dans la disponibilité de vos services.
Il ne s'agit pas de corruption, de perte de données ou d'escalade de privilèges.
c. Quels services impactés ?
Seuls les serveurs et VMs possédant un noyau 3.9 ou supérieur sont affectés.
Les services suivants, entièrement gérés par OVH, ne sont pas impactés: Domaines, Metrics & Logs Data Platform, xDSL, VoIP, DBaaS, OVH Load Balancer, vRack, Exchange, MX Plan, Web Hosting, Cloud Desktop, VDI, CDN, Swift, CEPH, NAS-HA, Public Cloud Storage et Public Cloud Archive.
Pour les serveurs dédiés, Public Cloud, VPS et Decidated Cloud, mettez à jour vos noyaux en utilisant la dernière version upstream ou le noyau OVH si vous l'utilisez (4.9.120 and 4.14.63 sont les dernières versions disponibles sur nos mirroirs et mitigent l'attaque). Consultez ce guide pour mettre à jour votre noyau : https://docs.ovh.com/fr/dedicated/mettre-a-jour-kernel-serveur-dedie/
Afin de vous laisser plus de temps pour mettre à jour vos infrastructures, nous avons implémenté des mitigations spécifiques à cette vulnérabilité à l'intérieur du VAC (Anti-DDoS).