ฉันจะป้องกันระบบของฉันจากการใช้ประโยชน์จาก Off-path TCP ใน Linux ได้อย่างไร

9

ตามcve.mitre.org , เคอร์เนลลินุกซ์ก่อน 4.7 มีความเสี่ยงที่จะ"หาเส้นทาง" TCP exploit

ลักษณะ

net / ipv4 / tcp_input.c ในเคอร์เนล Linux ก่อน 4.7 ไม่สามารถกำหนดอัตราของส่วนที่ท้าทาย ACK ได้อย่างถูกต้องซึ่งทำให้ง่ายขึ้นสำหรับผู้โจมตีกลางคนเพื่อแย่งชิงเซสชัน TCP ผ่านการโจมตีในหน้าต่าง

ช่องโหว่นี้ถือเป็นอันตรายเนื่องจากผู้โจมตีต้องการเพียงแค่ที่อยู่ IP เพื่อทำการโจมตี

การอัพเกรดลินุกซ์เคอร์เนลเป็นเวอร์ชั่นเสถียรล่าสุด4.7.1กลายเป็นวิธีเดียวที่จะปกป้องระบบของฉันได้หรือไม่?

linux  debian  security  vulnerability 
GAD3R
แหล่งที่มา

คำตอบ:

10

ตามLWNมีการลดขนาดซึ่งสามารถใช้ได้ในขณะที่คุณไม่มีเคอร์เนลที่ถูกแก้ไข:

มีการบรรเทาในรูปแบบของ tcp_challenge_ack_limit sysctlลูกบิด การตั้งค่านั้นเป็นสิ่งที่ยิ่งใหญ่ (เช่น999999999) จะทำให้ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องได้ยากขึ้น

คุณควรตั้งค่าได้โดยการสร้างแฟ้มในและจากนั้นการดำเนินการกับ/etc/sysctl.d sysctl -aเปิดเทอร์มินัล (กดCtrl+ Alt+ T) และเรียกใช้:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

โดยวิธีการที่คุณสามารถติดตามสถานะของช่องโหว่นี้ใน Debian ในการติดตามการรักษาความปลอดภัย

ysdx
แหล่งที่มา
6

คุณติดแท็กเดเบียนคำถามนี้ดังนั้นฉันจะสมมติว่าคุณใช้ระบบ Debian บน Linux

แพทช์ที่เกี่ยวข้องที่แก้ไขปัญหานี้มีขนาดเล็กและแยกค่อนข้างทำให้มันเป็นตัวเต็งที่ backporting

เดเบียนมักจะค่อนข้างดีเกี่ยวกับ backporting การแก้ไขที่เกี่ยวข้องกับความปลอดภัยกับซอฟต์แวร์รุ่นที่พวกเขาจัดส่งในการเผยแพร่การกระจายที่รองรับ รายการคำแนะนำเพื่อความปลอดภัยของพวกเขาสำหรับปี 2559ในปัจจุบันมีรายการคำแนะนำด้านความปลอดภัยแปดรายการที่เกี่ยวข้องกับเคอร์เนล Linux ( linuxและlinux-2.6แพ็คเกจ) ล่าสุดคือDSA-3616เมื่อวันที่ 4 กรกฎาคมแพทช์สำหรับข้อผิดพลาดที่คุณกล่าวถึงนั้น ในวันที่ 11 กรกฎาคม

การสนับสนุนด้านความปลอดภัยสำหรับ Wheezy อยู่กับทีม LTS (การสนับสนุนระยะยาว)จนถึงวันที่ 31 พฤษภาคม 2561 และเจสซี่กำลังได้รับการอัปเดตความปลอดภัยตามปกติโดยอาศัยการเปิดตัวปัจจุบัน

ฉันคาดหวังว่าแพทช์รักษาความปลอดภัยจะต่อต้าน Debian ที่รองรับในเร็ว ๆ นี้จากข้อผิดพลาดนี้

เป็นไปได้ว่าเมล็ดที่จัดส่งโดยเดเบียนจะไม่เสี่ยง CVE ไม่พูดว่า "ก่อนที่ 4.7" แต่ฉันสงสัยคำสั่งที่สามารถนำมาที่มูลค่าที่แท้จริง; รหัสที่เกี่ยวข้องอาจไม่ได้รับการแนะนำในรุ่นสาธารณะครั้งแรกของเคอร์เนล Linux (ในปี 1991 หรือมากกว่านั้น) ดังนั้นจึงต้องมีรุ่นเคอร์เนลที่มีเหตุผลซึ่งตรงตามเกณฑ์ของรุ่นก่อนหน้า 4.7 แต่ไม่มีความเสี่ยง ฉันยังไม่ได้ตรวจสอบเพื่อดูว่าสิ่งนี้ใช้กับเมล็ดที่จัดส่งโดยเดเบียนปัจจุบันหรือไม่

หากคุณใช้เดเบียนที่ไม่รองรับซึ่งมีความเสี่ยงต่อข้อผิดพลาดนี้หรือหากคุณต้องการการแก้ไขในทันทีคุณอาจต้องย้อนกลับการแก้ไขด้วยตนเองหรืออัปเกรดเป็นรีลีสล่าสุดอย่างน้อยเคอร์เนลเอง

CVN
แหล่งที่มา
3
เคอร์เนลส่งในขณะนี้โดย Debian เป็นความเสี่ยงที่สามารถมองเห็นได้ในของพวกเขาติดตามการรักษาความปลอดภัย เคอร์เนล Linux ที่เก่าแก่มีความเสี่ยงตั้งแต่ 3.6 เห็นได้ชัดว่าแม้แต่เสียงฮืด ๆ ที่ใช้ Linux 3.2 ก็ยังมีช่องโหว่เนื่องจากคุณสมบัติ
ysdx
ดูการเปลี่ยนแปลงสำหรับLinux 3.2.37ซึ่งรวมถึงการกระทำนี้
ysdx
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.