Оно _могло_ иметь некоторый смысл 9 апреля.
Но не сейчас.

Первый вопрос: что за фича 'HEARTBEAT'? Кому, где и зачем она нужна?
(соответственно определяется поток легитимных запросов, мы же не будем брать пример с проприетарщиков, не допускающих мысли об ошибках типа false positives)

Итого, если нет возможности обновить пакет — его правильнее пересобрать с выключением фичи.
Но вообще-то к 14 апреля даже поддержка тырпрайс соизволила включить в репозитории исправленую версию пакета.

Так что пример может быть полезен только тем, кто вынужден использовать натуральную проприетарщину (в которой как известно работоспособность доминирует над правильностью решения) с недоступными исходниками и статической линковкой с уязвимыми версиями.

Выложено, в основном, для демонстрации возможностей iptables.

Первый вопрос: что за фича 'HEARTBEAT'? Кому, где и зачем она нужна?

#cid89194,

Выложено, в основном, для демонстрации возможностей iptables.

Строго говоря, не столько _собственно iptables, сколько модуля u32.
Который по моим наблюдениям является не то, чтобы стандартным.
В рамках задачи иллюстрации возможностей пакетного фильтра надо было начинать с описания метода ловли рыбы (добычи аргумента, соответствующего решаемой задаче), проверки правильности и ни в коем случае не пройти мимо проверки на false positives.

Но мой вопрос был не о логике работы _уязвимости_, а о _назначении_ фичи, ошибка в реализации которой была использована…