Als ik het goed heb begrepen bevindt het probleem zich niet in de implementatie, maar in de RFC 5961 standaard. Je kunt de makers van linux en android niet echt kwalijk nemen dat ze een standaard sneller implementeren dan (bijvoorbeeld) Microsoft.

Zoals altijd weer in dit soort situaties is de berichtgeving tendentieus. Het is HELEMAAL NIET gemakkelijk om dit
probleem te misbruiken op een willekeurige internet verbinding en er wat nuttigs mee te doen.
Het zou beter zijn als dit soort overdreven aandacht gericht werd op de echte problemen in plaats van op zo iets
theoretisch.

Ga maar eens een BCP38 campagne voeren bijvoorbeeld. daar hebben we tenminste allemaal wat aan!

grappig die goedpraterij altijd bij linux,alles altijd bagataliseren en alles is de fout van microsoft..

Ah, hier spreekt een Windows liefhebber. Deed het zeer?

Hallo heren OS-flamers, stop daarmee aub, het voegt niets toe en verlaagt de waarde van deze site. Het jaagt lezers weg richting sites waar men wel serieus met elkaar omgaat.

Op deze pagina: http://www.theregister.co.uk/2016/08/10/linux_tor_users_open_corrupted_communications/ worden de onderzoekers geciteerd die ik nu ook weer citeer:
"Faitfully" suggereert dat de kwetsbaarheid een gevolg is van de RFC zelf, terwijl "outlined" suggereert dat de kernelbouwers de veroorzaker zijn, bijvoorbeeld omdat de RFC niet heel duidelijk was. Maakt geen deuk uit overigens, want feit blijft dat (hoeveel?) miljoenen apparaten op onze aardbol kwetsbaar zijn. En het probleem gaat pas weg als een deel van die apparaten stuk zijn (die geen updates meer krijgen van hun fabrikanten). Dat het ook Android raakt, hadden de oorspronkelijke onderzoekers ook al gemeld, dus dit artikel is eigenlijk geen nieuws.

De vraag nu is: hoe groot is de kans dat deze kwetsbaarheid wordt misbruikt en welke invloed heeft een aanvaller dan eigenlijk?
Kans: je kunt erop wachten dat dit gebruikt gaat worden als een manier om credentials te stelen en malware te verspreiden, maar dit is nog niet gebeurd?

Invloed: voor HTTP verbindingen blijkbaar "meelezen, aanpassen, injecteren malware", voor HTTPS is het "verbreken" en blijkbaar niet meer dan dat.

We moeten blijkbaar aan de HTTPS voor alles dat we belangrijk vinden (wisten we al). Of IoT apparaten en Android apps dat altijd doen, kunnen we wel controleren, maar niet beheersen. Te wantrouwen spul dus (wisten we al).

Ik begrijp dat een workaround mogelijk is in sysctl. Eigenlijk is het een verplaatsing van de kwetsbaarheid naar "dat het langer duurt", lijkt me. Mischien treedt wel een kernel crash op als de "999999999" bereikt is?

Ik hoop dat alle leveranciers die wel updates uitgeven deze sysctl setting in hun distributies doorgeven (ik denk aan servers, workstations/PC's, telefoons die net gekocht zijn, IoT apparaten van fabrikanten die hun klanten serieus nemen). Voor servers en workstations/PC's kunnen de beheerders het zelf.

Voor de overige apparaten geldt "yet another vulnerability" (zonder omvang probleem te bagatelliseren).

Sorry om het te zeggen maar ik maak toch regelmatig met Linux mee dat het helaas moet en niet omdat het kan.

Je krijgt een virtuele 'plus' voor bovenstaande regels!

flamewars.. zo vreselijk 2010..

Helemaal mee eens, ik probeer al een tijdje heel selectief de commentaren en reacties te lezen vanwege al deze ongein. Gelukkig zit er zo nu en dan toch een goede en informatieve reactie tussen waar je mee verder kunt maar dan valt je oog toch helaas weer op een van die andere 99% inhoudsloze en/of hatelijk bedoelde reacties en dat is toch wel heel erg jammer want ik neem aan dat deze site daar niet voor bedoeld is.

Nee, maar dat ontslaat ze niet van de verantwoordelijkheid om met een oplossing van de kwetsbaarheid te komen. Er is ook al een patch die op 10 juli, dus een maand voor de Usenix-presentatie, in kernel 4.8-rc2 is aangebracht.

https://github.com/torvalds/linux/commit/75ff39ccc1bd5d3c455b6822ab09e533c551f758

Daarmee is de patch nog niet in Linux-distro's en Android-devices beschikbaar, die gebruiken niet de laatste release candidate van een kernel. Het is dus wachten op het aanbrengen van dezelfde wijziging in oudere kernels door de diverse distro's. Waarom dat (bijvoorbeeld bij Debian) nog niet gebeurd is? Ik vermoed omdat hun inschatting van de ernst "medium" en niet "critical" is. Ik weet er zelf onvoldoende van om te kunnen beoordelen hoe goed of slecht dit inschatting is.

De status is dus dat de makers van de Linux-kernel zelf hun verantwoordelijkheid wel degelijk hebben genomen maar dat het doordringen ervan tot de gebruikers kennelijk meer tijd kost. En zoals het artikel meldt kan dat bij Android door lakse fabrikanten lang duren.

En wat Linux/Windows/whatever bashen betreft: bedenk eens dat een besturingssysteem iets anders is dan een voetbalclub en een voorkeur voor een besturingssysteem iets anders dan lidmaatschap van een supportersvereniging. De manier om te "scoren" in een omgeving waar kennis en inzicht ertoe doen is niet om een "tegenpartij" te overtroeven maar om ernaar te streven jezelf te overtreffen, door je kennis, inzicht en vaardigheid toe te laten nemen dus, zodat wat je te melden hebt steeds interessanter is voor anderen. Als je last hebt van competitiedrang is een sport beoefenen vermoedelijk een heel wat betere uitlaatklep dan kinderachtige welles/nietes-spelletjes te voeren op discussiefora.