หมายเหตุ: ส่วนการแก้ไขปัญหาได้ถูกเก็บไว้ด้วยเหตุผลทางประวัติศาสตร์อย่างไรก็ตามโปรดข้ามไปที่ส่วนการแก้ไขด้านล่าง
การแก้ปัญหา:
ตามที่ระบุไว้ที่นี่ :
ข่าวดี - และใช่มีข่าวดี - มันง่ายที่จะแก้ไข ก่อนอื่นลีนุกซ์กำลังทำการปะแก้เพื่อหยุดเวคเตอร์การโจมตีในแทร็กของมัน ถัดไปคุณเพียงเพิ่ม 'ความท้าทาย ACK จำกัด ' เป็นค่าที่มีขนาดใหญ่มากเพื่อให้เป็นไปไม่ได้ที่จะใช้ประโยชน์จาก
ปัญหาช่องทางด้านข้างที่ทำให้การโจมตีทำงานได้จริง
เนื่องจากปัญหานี้ส่งผลกระทบต่อทั้งไคลเอนต์และเซิร์ฟเวอร์หรือในความเป็นจริงแล้วเครื่อง Linux สองเครื่องที่พูดคุยผ่านเครือข่ายจึงเป็นสิ่งสำคัญที่จะต้องใช้วิธีการแก้ปัญหาทั้งในและแก้ไขทันทีที่มีการเปิดตัว
เพื่อที่จะใช้วิธีแก้ปัญหาให้ทำดังต่อไปนี้:
- เปิดไฟล์กำหนดค่าด้วย:
sudoedit /etc/sysctl.conf
- แทรกบรรทัด
net.ipv4.tcp_challenge_ack_limit = 999999999
ลงในไฟล์และบันทึก
- รัน
sudo sysctl -p
เพื่ออัพเดตการกำหนดค่า
คุณสามารถดำเนินการได้โดยตรงจาก Terminal:
sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'
หรือ:
echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf
จากนั้นเรียกใช้:
sudo sysctl -p
การแก้ไข:
ตามที่ระบุไว้ที่นี่ :
net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,
with a likely release date of Aug 27. Earlier access to the kernels
with the fix will be available from the -proposed pocket, though they
come with the risk of being less tested.
และตอนนี้การแก้ไขได้รับการเผยแพร่แล้ว:
linux (4.4.0-36.55) xenial; urgency=low
[ Stefan Bader ]
* Release Tracking Bug
- LP: #1612305
* I2C touchpad does not work on AMD platform (LP: #1612006)
- SAUCE: pinctrl/amd: Remove the default de-bounce time
* CVE-2016-5696
- tcp: make challenge acks less predictable
-- Stefan Bader <stefan.bader@canonical.com> Thu, 11 Aug 2016 17:34:14 +0200
วิ่ง:
sudo apt-get update
sudo apt-get dist-upgrade
เพื่อให้แน่ใจว่าคุณมีเวอร์ชันล่าสุด หรือใช้ Software Updater หากคุณต้องการอัพเดทผ่าน GUI
คุณสามารถตรวจสอบรุ่นที่คุณใช้อยู่และรุ่นใดที่สามารถใช้ได้กับ:
apt-cache policy linux-image-generic