Sistemimi Linux'ta Off-road TCP istismarına karşı nasıl koruyabilirim?

Cve.mitre.org'a göre, 4.7'den önceki Linux çekirdeği “Off- road ” TCP istismarlarına karşı savunmasız

Açıklama

4.7'den önceki Linux çekirdeğindeki net / ipv4 / tcp_input.c, meydan okuma ACK segmentlerinin oranını düzgün bir şekilde belirlemez, bu da ortadaki adam saldırganlarının kör bir pencere saldırısı yoluyla TCP oturumlarını ele geçirmesini kolaylaştırır.

Bu güvenlik açığı tehlikeli olarak kabul edilir, çünkü saldırganın saldırı gerçekleştirmek için yalnızca bir IP adresine ihtiyacı vardır.

Linux çekirdeğini en son kararlı sürüme yükseltmek ,4.7.1 sistemimi korumanın tek yolu olur mu?

LWN'ye göre, yamalı bir çekirdeğiniz olmadığında kullanılabilecek bir hafifletme vardır:

tcp_challenge_ack_limit sysctldüğme şeklinde bir hafifletme vardır . Bu değeri muazzam bir şeye (örneğin 999999999) ayarlamak, saldırganların kusurdan yararlanmasını çok daha zorlaştıracaktır.

İçinde bir dosya oluşturup /etc/sysctl.duygulayarak ayarlamanız gerekir sysctl -a. Bir terminal açın ( Ctrl+ Alt+ tuşlarına basın T) ve çalıştırın:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Bu arada, Debian'daki bu güvenlik açığının durumunu güvenlik izleyicide izleyebilirsiniz .

Bu soruyu etiketledin debian, bu yüzden Linux tabanlı bir Debian sistemi çalıştırdığınızı varsayacağım.

İlgili yama bu hatayı düzeltir küçük ve nispeten daha backporting için bir aday haline izole.

Debian genellikle, desteklenen dağıtım sürümlerinde gönderdikleri yazılım sürümlerinde güvenlikle ilgili düzeltmeleri backporting konusunda oldukça iyidir. Onların 2016 için güvenlik duyuruları liste şu anda listeleri Linux çekirdeği (ilgili sekiz güvenlik uyarılarının linuxve linux-2.6paketler) En son varlık DSA-3616 Temmuz 4. Bir hafta sonra kaynak kodu ağacına işlendiği söz hata için yama üzerinde, 11 Temmuz.

Wheezy için güvenlik desteği 31 Mayıs 2018 tarihine kadar LTS (Uzun Süreli Destek) ekibiyle birlikte ve Jessie şu anki sürüm olması nedeniyle normal güvenlik güncellemeleri alıyor.

Bu hatadan muzdarip desteklenen Debian sürümlerine karşı yakında bir güvenlik yaması beklerim .

Debian tarafından gönderilen çekirdeklerin savunmasız olmaması da mümkündür. CVE yapar "4.7 önce" demek, ama bu deyim değişmez doğru kabul edilebilir şüphe; ilgili kod muhtemelen Linux çekirdeğinin ilk genel sürümünde (1991 ya da öylesine) tanıtılmamıştı, bu yüzden mantıksal olarak sürüm 4.7'den daha eski olma ölçütlerini karşılayan ancak savunmasız olmayan çekirdek sürümleri olmalıdır. Bunun şu anki Debian sürümleri tarafından gönderilen çekirdekler için geçerli olup olmadığını kontrol etmedim.

Bu hataya karşı savunmasız bir desteklenmeyen Debian sürümü çalıştırıyorsanız veya acil bir düzeltmeye ihtiyacınız varsa, düzeltmeyi manuel olarak geri yüklemeniz veya en azından çekirdeğin kendisinin daha yeni bir sürümüne yükseltmeniz gerekebilir.