Как защитить мою систему от эксплойта TCP вне сети в Linux?


9

Согласно cve.mitre.org , ядро ​​Linux до версии 4.7 уязвимо для эксплойтов TCP «вне пути»

Описание

net / ipv4 / tcp_input.c в ядре Linux до версии 4.7 неправильно определяет частоту сегментов ACK, вызывающих вызовы, что облегчает злоумышленникам, занимающим промежуточное звено, перехватывать сеансы TCP с помощью скрытой атаки в окне.

Эта уязвимость считается опасной, потому что злоумышленнику просто нужен IP-адрес для выполнения атаки.

Является ли обновление ядра Linux до последней стабильной версии 4.7.1единственным способом защиты моей системы?

Ответы:


10

Согласно LWN, есть смягчение, которое можно использовать, пока у вас нет исправленного ядра:

есть смягчение, доступное в форме tcp_challenge_ack_limit sysctlручки. Установка этого значения на что-то огромное (например 999999999) усложнит для злоумышленников использование недостатка.

Вы должны установить его, создав файл в /etc/sysctl.dи затем реализовав его с помощью sysctl -a. Откройте терминал (нажмите Ctrl+ Alt+ T), и запуск:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Кстати, вы можете отслеживать состояние этой уязвимости в Debian в трекере безопасности .


6

Вы пометили этот вопрос как , поэтому я предполагаю, что вы используете систему Debian на основе Linux.

Соответствующий патч , который исправляет эту ошибку , небольшой и относительно изолирован, что делает его главным кандидатом на Бэкпорт.

Debian обычно неплохо справляется с переносом связанных с безопасностью исправлений в версии программного обеспечения, которые они поставляют в поддерживаемых выпусках дистрибутива. В их списке рекомендаций по безопасности на 2016 год в настоящее время перечислены восемь рекомендаций по безопасности, относящихся к ядру Linux ( linuxи linux-2.6пакетам), самым последним из которых было DSA-3616 4 июля. Патч для упомянутой вами ошибки был исправлен в дереве исходного кода неделю спустя, 11 июля.

Поддержка безопасности для Wheezy обеспечивается командой LTS (долгосрочной поддержки) до 31 мая 2018 года, и Джесси в настоящее время получает нормальные обновления безопасности, поскольку она является текущей версией.

Я ожидаю скорое исправление безопасности для поддерживаемых выпусков Debian, страдающих от этой ошибки.

Также возможно, что ядра, поставляемые Debian, не уязвимы. CVE действительно говорит «до 4.7», но я сомневаюсь, что утверждение может быть принято буквально номинальной стоимостью; соответствующий код, вероятно, не был представлен в первом публичном выпуске ядра Linux (в 1991 году или около того), поэтому должны существовать логически существующие версии ядра, которые соответствуют критериям более ранней, чем версия 4.7, но которые не являются уязвимыми. Я не проверял, относится ли это к тем ядрам, которые поставляются в текущих выпусках Debian.

Если вы работаете с неподдерживаемым выпуском Debian, который уязвим к этой ошибке, или если вам требуется немедленное исправление, то вам, возможно, придется перенести исправление вручную или обновить до более свежего выпуска по крайней мере самого ядра.


3
Ядро, поставляемое в настоящее время Debian, уязвимо, как видно из их трекера безопасности . Нетронутое ядро ​​Linux уязвимо с 3.6. Очевидно, что даже wheezy, использующий Linux 3.2, уязвим, потому что эта функция (и ошибка) были перенесены обратно.
ysdx

Смотрите список изменений для Linux 3.2.37, который включает этот коммит.
ysdx
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.