มีวิธีแก้ปัญหาสำหรับข้อบกพร่อง RFC 5961 Linux TCP หรือไม่


28

ฉันเพิ่งอ่านเกี่ยวกับข้อบกพร่อง Linux TCP นี้ ( CVE-2016-5696 ) ซึ่งทำให้ผู้โจมตีสามารถทำลายหรือจี้การเชื่อมต่อระหว่างสองเครื่องที่ใช้ Linux (ตัวอย่างเช่นเว็บเซิร์ฟเวอร์และไคลเอนต์) ฉันเข้าใจว่าปัญหานี้ได้รับการเปิดตัวในปี 2555 ในเคอร์เนลลินุกซ์เวอร์ชั่น 3.6 และมีผลกับเวอร์ชันใหม่ทั้งหมดเช่นกัน

ปัจจุบันการแก้ไขนี้ยังไม่ได้รับการปล่อยตัวออกมา (ตามเวลาของการเขียนนี้) แต่มีวิธีแก้ไขปัญหาใดบ้างเนื่องจากเป็นข้อบกพร่องที่สำคัญ


Ubuntu ยังไม่ได้วางจำหน่ายโปรแกรมแก้ไข? การแจกแจงอื่น ๆ บางอย่างมีการแก้ไขที่เผยแพร่ก่อนที่ข้อบกพร่องจะถูกเปิดเผยต่อสาธารณะ
Michael Hampton

@MichaelHampton: เท่าที่ฉันเข้าใจว่ามีการแก้ไขในช่องทางที่เสนอ แต่ยังไม่มีการวางจำหน่ายที่มั่นคง

ฉันคิดว่าพวกเขาวางแผนที่จะเผยแพร่การแก้ไขในวันที่ 27

@MichaelHampton: ฉันได้อัปเดตคำตอบพร้อมข้อมูลที่เกี่ยวข้องแล้ว

คำตอบ:


29

หมายเหตุ: ส่วนการแก้ไขปัญหาได้ถูกเก็บไว้ด้วยเหตุผลทางประวัติศาสตร์อย่างไรก็ตามโปรดข้ามไปที่ส่วนการแก้ไขด้านล่าง

การแก้ปัญหา:

ตามที่ระบุไว้ที่นี่ :

ข่าวดี - และใช่มีข่าวดี - มันง่ายที่จะแก้ไข ก่อนอื่นลีนุกซ์กำลังทำการปะแก้เพื่อหยุดเวคเตอร์การโจมตีในแทร็กของมัน ถัดไปคุณเพียงเพิ่ม 'ความท้าทาย ACK จำกัด ' เป็นค่าที่มีขนาดใหญ่มากเพื่อให้เป็นไปไม่ได้ที่จะใช้ประโยชน์จาก ปัญหาช่องทางด้านข้างที่ทำให้การโจมตีทำงานได้จริง

เนื่องจากปัญหานี้ส่งผลกระทบต่อทั้งไคลเอนต์และเซิร์ฟเวอร์หรือในความเป็นจริงแล้วเครื่อง Linux สองเครื่องที่พูดคุยผ่านเครือข่ายจึงเป็นสิ่งสำคัญที่จะต้องใช้วิธีการแก้ปัญหาทั้งในและแก้ไขทันทีที่มีการเปิดตัว

เพื่อที่จะใช้วิธีแก้ปัญหาให้ทำดังต่อไปนี้:

  1. เปิดไฟล์กำหนดค่าด้วย: sudoedit /etc/sysctl.conf
  2. แทรกบรรทัดnet.ipv4.tcp_challenge_ack_limit = 999999999ลงในไฟล์และบันทึก
  3. รันsudo sysctl -pเพื่ออัพเดตการกำหนดค่า

คุณสามารถดำเนินการได้โดยตรงจาก Terminal:

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

หรือ:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

จากนั้นเรียกใช้:

sudo sysctl -p

การแก้ไข:

ตามที่ระบุไว้ที่นี่ :

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

และตอนนี้การแก้ไขได้รับการเผยแพร่แล้ว:

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200

วิ่ง:

sudo apt-get update
sudo apt-get dist-upgrade

เพื่อให้แน่ใจว่าคุณมีเวอร์ชันล่าสุด หรือใช้ Software Updater หากคุณต้องการอัพเดทผ่าน GUI

คุณสามารถตรวจสอบรุ่นที่คุณใช้อยู่และรุ่นใดที่สามารถใช้ได้กับ:

apt-cache policy linux-image-generic

การแก้ไขที่รวดเร็ว (แต่ไม่ขัดขืน):echo 999999999 > /proc/sys/net/ipv4/tcp_challenge_ack_limit
Ben Voigt
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.