CVE-2019-11479
19.06.2019, 00:15
Jonathan Looney discovered that the Linux kernel default MSS is hard-coded to 48 bytes. This allows a remote peer to fragment TCP resend queues significantly more than if a larger MSS were enforced. A remote attacker could use this to cause a denial of service. This has been fixed in stable kernel releases 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11, and is fixed in commits 967c05aee439e6e5d7d805e195b3a20ef5c433d6 and 5f3e2bf008c2221478101ee72f5cb4654b9fc363.
Affected Products (NVD)
| Vendor | Product | Version |
|---|---|---|
| linux | linux_kernel | 4.4 ≤ 𝑥 < 4.4.182 |
| linux | linux_kernel | 4.9 ≤ 𝑥 < 4.9.182 |
| linux | linux_kernel | 4.14 ≤ 𝑥 < 4.14.127 |
| linux | linux_kernel | 4.19 ≤ 𝑥 < 4.19.52 |
| linux | linux_kernel | 5.1 ≤ 𝑥 < 5.1.11 |
| f5 | big-ip_advanced_firewall_manager | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_advanced_firewall_manager | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_advanced_firewall_manager | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_advanced_firewall_manager | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_advanced_firewall_manager | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_advanced_firewall_manager | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_access_policy_manager | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_access_policy_manager | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_access_policy_manager | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_access_policy_manager | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_access_policy_manager | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_access_policy_manager | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_application_acceleration_manager | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_application_acceleration_manager | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_application_acceleration_manager | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_application_acceleration_manager | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_application_acceleration_manager | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_application_acceleration_manager | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_link_controller | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_link_controller | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_link_controller | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_link_controller | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_link_controller | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_link_controller | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_policy_enforcement_manager | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_policy_enforcement_manager | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_policy_enforcement_manager | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_policy_enforcement_manager | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_policy_enforcement_manager | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_policy_enforcement_manager | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_webaccelerator | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_webaccelerator | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_webaccelerator | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_webaccelerator | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_webaccelerator | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_webaccelerator | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_application_security_manager | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_application_security_manager | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_application_security_manager | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_application_security_manager | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_application_security_manager | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_application_security_manager | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_local_traffic_manager | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_local_traffic_manager | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_local_traffic_manager | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_local_traffic_manager | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_local_traffic_manager | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_local_traffic_manager | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_fraud_protection_service | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_fraud_protection_service | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_fraud_protection_service | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_fraud_protection_service | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_fraud_protection_service | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_fraud_protection_service | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_global_traffic_manager | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_global_traffic_manager | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_global_traffic_manager | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_global_traffic_manager | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_global_traffic_manager | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_global_traffic_manager | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_analytics | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_analytics | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_analytics | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_analytics | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_analytics | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_analytics | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_edge_gateway | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_edge_gateway | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_edge_gateway | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_edge_gateway | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_edge_gateway | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_edge_gateway | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| f5 | big-ip_domain_name_system | 11.5.2 ≤ 𝑥 < 11.6.5.1 |
| f5 | big-ip_domain_name_system | 12.1.0 ≤ 𝑥 < 12.1.5.1 |
| f5 | big-ip_domain_name_system | 13.1.0 ≤ 𝑥 < 13.1.3.2 |
| f5 | big-ip_domain_name_system | 14.0.0 ≤ 𝑥 < 14.0.1.1 |
| f5 | big-ip_domain_name_system | 14.1.2 ≤ 𝑥 < 14.1.2.1 |
| f5 | big-ip_domain_name_system | 15.0.0 ≤ 𝑥 < 15.0.1.1 |
| canonical | ubuntu_linux | 14.04 |
| canonical | ubuntu_linux | 16.04 |
| canonical | ubuntu_linux | 18.04 |
| canonical | ubuntu_linux | 18.10 |
| canonical | ubuntu_linux | 19.04 |
| redhat | enterprise_linux | 7.0 |
| f5 | big-iq_centralized_management | 5.1.0 ≤ 𝑥 ≤ 5.4.0 |
| f5 | big-iq_centralized_management | 6.0.0 ≤ 𝑥 ≤ 6.1.0 |
| f5 | enterprise_manager | 3.1.1 |
| f5 | iworkflow | 2.3.0 |
| f5 | traffix_signaling_delivery_controller | 5.0.0 ≤ 𝑥 ≤ 5.1.0 |
| redhat | virtualization_host | 4.0 |
𝑥
= Vulnerable software versions
Debian Releases
Ubuntu Releases
Ubuntu Product | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| linux |
| ||||||||||
| linux-aws |
| ||||||||||
| linux-aws-hwe |
| ||||||||||
| linux-azure |
| ||||||||||
| linux-azure-edge |
| ||||||||||
| linux-euclid |
| ||||||||||
| linux-flo |
| ||||||||||
| linux-gcp |
| ||||||||||
| linux-gcp-edge |
| ||||||||||
| linux-gke |
| ||||||||||
| linux-gke-4.15 |
| ||||||||||
| linux-gke-5.0 |
| ||||||||||
| linux-goldfish |
| ||||||||||
| linux-grouper |
| ||||||||||
| linux-hwe |
| ||||||||||
| linux-hwe-edge |
| ||||||||||
| linux-kvm |
| ||||||||||
| linux-lts-trusty |
| ||||||||||
| linux-lts-utopic |
| ||||||||||
| linux-lts-vivid |
| ||||||||||
| linux-lts-wily |
| ||||||||||
| linux-lts-xenial |
| ||||||||||
| linux-maguro |
| ||||||||||
| linux-mako |
| ||||||||||
| linux-manta |
| ||||||||||
| linux-oem |
| ||||||||||
| linux-oracle |
| ||||||||||
| linux-raspi2 |
| ||||||||||
| linux-snapdragon |
|
openSUSE / SLES Releases
openSUSE Product | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| kernel-64kb |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-azure |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-azure-base |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-default |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-default-base |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-default-extra |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-default-man |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-docs |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-ec2 |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-ec2-extra |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-macros |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-obs-build |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-preempt |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-preempt-extra |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-source |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-source-azure |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-syms |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-syms-azure |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-vanilla-base |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-xen |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-xen-base |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kernel-zfcpdump |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kgraft-patch-3_12_61-52_154-default-1 |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kgraft-patch-3_12_61-52_154-xen-1 |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kgraft-patch-3_12_74-60_64_115-default-1 |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kgraft-patch-3_12_74-60_64_115-xen-1 |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| kgraft-patch-4_4_121-92_114-default-1 |
|
Red Hat Enterprise Linux Releases
Red Hat Product | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| bpftool |
| ||||||||
| kernel |
| ||||||||
| kernel-abi-whitelists |
| ||||||||
| kernel-bootwrapper |
| ||||||||
| kernel-core |
| ||||||||
| kernel-debug |
| ||||||||
| kernel-debug-core |
| ||||||||
| kernel-debug-devel |
| ||||||||
| kernel-debug-modules |
| ||||||||
| kernel-debug-modules-extra |
| ||||||||
| kernel-devel |
| ||||||||
| kernel-doc |
| ||||||||
| kernel-firmware |
| ||||||||
| kernel-kdump |
| ||||||||
| kernel-kdump-devel |
| ||||||||
| kernel-modules |
| ||||||||
| kernel-modules-extra |
| ||||||||
| kernel-rt |
| ||||||||
| kernel-rt-core |
| ||||||||
| kernel-rt-debug |
| ||||||||
| kernel-rt-debug-core |
| ||||||||
| kernel-rt-debug-devel |
| ||||||||
| kernel-rt-debug-kvm |
| ||||||||
| kernel-rt-debug-modules |
| ||||||||
| kernel-rt-debug-modules-extra |
| ||||||||
| kernel-rt-devel |
| ||||||||
| kernel-rt-doc |
| ||||||||
| kernel-rt-kvm |
| ||||||||
| kernel-rt-modules |
| ||||||||
| kernel-rt-modules-extra |
| ||||||||
| kernel-rt-trace |
| ||||||||
| kernel-rt-trace-devel |
| ||||||||
| kernel-rt-trace-kvm |
| ||||||||
| kernel-tools |
| ||||||||
| kernel-tools-libs |
| ||||||||
| kernel-tools-libs-devel |
| ||||||||
| kernel-zfcpdump |
| ||||||||
| kernel-zfcpdump-core |
| ||||||||
| kernel-zfcpdump-devel |
| ||||||||
| kernel-zfcpdump-modules |
| ||||||||
| kernel-zfcpdump-modules-extra |
| ||||||||
| perf |
| ||||||||
| python-perf |
| ||||||||
| python3-perf |
|
Common Weakness Enumeration
- CWE-405 - Asymmetric Resource Consumption (Amplification)Software that does not appropriately monitor or control resource consumption can lead to adverse system performance.
- CWE-770 - Allocation of Resources Without Limits or ThrottlingThe software allocates a reusable resource or group of resources on behalf of an actor without imposing any restrictions on the size or number of resources that can be allocated, in violation of the intended security policy for that actor.
References