Code Review / apex-tripleo-heat-templates.git / blob
? search:
summary | shortlog | log | commit | commitdiff | review | tree
history | raw | HEAD
Merge "Use tripleo profile for bigswitch agent"
[apex-tripleo-heat-templates.git] / releasenotes / notes / disable-kernel-parameter-for-icmp-redirects-f325f91d71b58b5f.yaml
1 ---
2 upgrade:
3   - The net.ipv4.conf.default.send_redirects & net.ipv4.conf.all.send_redirects
4     are now set to 0 to prevent a compromised host from sending invalid ICMP
5     redirects to other router devices.
6   - The net.ipv4.conf.default.accept_redirects,
7     net.ipv6.conf.default.accept_redirects & net.ipv6.conf.all.accept_redirects
8     are now set to 0 to prevent forged ICMP packet from altering host's routing
9     tables.
10   - The net.ipv4.conf.default.secure_redirects &
11     net.ipv4.conf.all.secure_redirects are now set to 0 to disable acceptance
12     of secure ICMP redirected packets.
13 security:
14   - Invalide ICMP redirects may corrupt routing and have users access a system
15     set up by the attacker as opposed to a valid system.
16   - Routing tables may be altered by bogus ICMP redirect messages and send
17     packets to incorrect networks.
18   - Secure ICMP redirects are the same as ICMP redirects, except they come from
19     gateways listed on the default gateway list.