Làm cách nào để bảo vệ hệ thống của tôi chống lại khai thác TCP Off-path trong Linux?


9

Theo cve.mitre.org , nhân Linux trước 4.7 dễ bị tổn thương trước các khai thác của TCP Off-path

Sự miêu tả

net / ipv4 / tcp_input.c trong nhân Linux trước 4.7 không xác định chính xác tỷ lệ thách thức các phân đoạn ACK, giúp kẻ tấn công trung gian dễ dàng chiếm quyền điều khiển các phiên TCP thông qua một cuộc tấn công mù trong cửa sổ.

Lỗ hổng này được coi là nguy hiểm vì kẻ tấn công chỉ cần một địa chỉ IP để thực hiện một cuộc tấn công.

Có phải việc nâng cấp nhân Linux lên phiên bản ổn định mới nhất 4.7.1, trở thành cách duy nhất để bảo vệ hệ thống của tôi không?

Câu trả lời:


10

Theo LWN, có một giảm thiểu có thể được sử dụng trong khi bạn không có kernel đã vá:

có một giảm thiểu có sẵn ở dạng tcp_challenge_ack_limit sysctlnúm. Đặt giá trị đó thành một cái gì đó to lớn (ví dụ 999999999) sẽ khiến kẻ tấn công khai thác lỗ hổng khó khăn hơn nhiều.

Bạn nên thiết lập nó bằng cách tạo một tệp /etc/sysctl.dvà sau đó thực hiện nó với sysctl -a. Mở một thiết bị đầu cuối (nhấn Ctrl+ Alt+ T) và chạy:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Nhân tiện, bạn có thể theo dõi trạng thái của lỗ hổng này trên Debian trong trình theo dõi bảo mật .


6

Bạn gắn thẻ câu hỏi này , vì vậy tôi sẽ cho rằng bạn đang chạy một hệ thống Debian dựa trên Linux.

Các bản vá có liên quan để sửa lỗi này là nhỏ và tương đối cô lập, làm cho nó trở thành một ứng cử viên chính cho việc nhập lại.

Debian thường khá giỏi trong việc cung cấp các bản sửa lỗi liên quan đến bảo mật cho các phiên bản phần mềm mà chúng đang được phát hành trên các bản phát hành phân phối được hỗ trợ. Danh sách các cố vấn bảo mật của họ cho năm 2016 hiện liệt kê tám cố vấn bảo mật liên quan đến nhân Linux ( linuxlinux-2.6các gói), gần đây nhất là DSA-3616 vào ngày 4 tháng 7. Bản vá lỗi mà bạn đề cập đã được cam kết với cây mã nguồn một tuần sau đó, vào ngày 11 tháng 7.

Hỗ trợ bảo mật cho Wheezy là với nhóm LTS (Hỗ trợ dài hạn) cho đến ngày 31 tháng 5 năm 2018 và hiện tại, Jessie đang nhận được các cập nhật bảo mật thông thường nhờ vào việc phát hành hiện tại.

Tôi sẽ mong đợi một bản vá bảo mật sớm chống lại các bản phát hành Debian được hỗ trợ bị lỗi này.

Cũng có thể các hạt nhân được Debian vận chuyển không dễ bị tấn công. CVE nói "trước 4.7", nhưng tôi nghi ngờ rằng tuyên bố đó có thể được thực hiện theo mệnh giá theo nghĩa đen; mã có liên quan có lẽ đã không được giới thiệu trong phiên bản công khai đầu tiên của hạt nhân Linux (vào năm 1991 hoặc lâu hơn) vì vậy phải tồn tại một cách hợp lý các phiên bản kernel đáp ứng các tiêu chí sớm hơn phiên bản 4.7 nhưng không dễ bị tấn công. Tôi chưa kiểm tra xem liệu điều này có áp dụng cho các hạt nhân đó được vận chuyển bởi các bản phát hành Debian hiện tại hay không.

Nếu bạn đang chạy một bản phát hành Debian không được hỗ trợ, dễ bị lỗi này hoặc nếu bạn yêu cầu sửa lỗi ngay lập tức, thì bạn có thể phải nhập lại bản sửa lỗi theo cách thủ công hoặc nâng cấp lên bản phát hành mới hơn ít nhất là bản thân hạt nhân.


3
Hạt nhân hiện đang được Debian vận chuyển dễ bị tổn thương như có thể thấy trong trình theo dõi bảo mật của họ . Nhân Linux nguyên sơ dễ bị tổn thương kể từ 3.6. Rõ ràng, ngay cả những người đang sử dụng Linux 3.2 cũng dễ bị tổn thương vì tính năng (và lỗi) đã bị lỗi.
ysdx

Xem thay đổi cho Linux 3.2.37 bao gồm cam kết này.
ysdx
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.