Keyu Man

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.58 **Descrição** O problema diz respeito à ordem dos limites de taxa para mensagens ICMP no kernel Linux. Para evitar ataques de canal lateral, a verificação por destino precisa ser aplicada primeiro. O patch altera a ordem dos limitadores de taxa, aplicando primeiro o limite de taxa global do host e, em seguida, o limite de taxa por destino. Isso garante que o limite de taxa para todo o host permaneça eficaz em manter a árvore inetpeer pequena, mesmo sob ataques DDOS. A função `icmp global allow()` verifica o limite para todo o host, e os créditos são consumidos por `icmp global consume()` se as operações anteriores forem bem-sucedidas. O limite por destino é verificado e atualizado, potencialmente adicionando um novo nó à árvore inetpeer. **Recomendações** Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a mensagens ICMP para minimizar o risco de exploração. Evite usar a função `icmp global allow()` até que o problema seja resolvido. Restrinja o acesso ao limite de taxa por destino para minimizar o risco de ataques de canal lateral.