cve.mitre.orgによると、4.7より前のLinuxカーネルは「オフパス」TCPエクスプロイトに対して脆弱です
説明文
Linuxカーネル4.7より前のnet / ipv4 / tcp_input.cはチャレンジACKセグメントのレートを適切に決定しないため、中間者攻撃者がブラインドインウィンドウ攻撃を介してTCPセッションを乗っ取ることが容易になります。
攻撃者が攻撃を実行するにはIPアドレスが必要なだけなので、この脆弱性は危険であると見なされます。
Linuxカーネルを最新の安定したバージョンにアップグレード4.7.1することが、システムを保護する唯一の方法になりますか?
回答:
LWNによると、パッチを当てたカーネルがない場合に使用できる緩和策があります。
tcp_challenge_ack_limitsysctlつまみの形で利用可能な緩和策があります 。この値を非常に大きな値(例:)に設定999999999すると、攻撃者がこの欠陥を悪用することがはるかに困難になります。
でファイルを作成し/etc/sysctl.d、それをで実装して設定する必要がありますsysctl -a。ターミナルを開き(Ctrl+ Alt+を押すT)、次を実行します:
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
ちなみに、セキュリティトラッカーでDebianのこの脆弱性の状態を追跡できます。
この質問にdebianのタグを付けたので、LinuxベースのDebianシステムを実行していると想定します。
関連するパッチこのバグを修正小さく、比較的そのバックポートのための最有力候補作り、単離しました。
Debianは通常、セキュリティ関連の修正を、サポートされているディストリビューションリリースで出荷されているソフトウェアバージョンにバックポートすることについて非常に優れています。彼らの2016年のためのセキュリティ勧告のリスト、現在のLinuxカーネル(に関連するリスト8つのセキュリティ勧告linuxおよびlinux-2.6パッケージ)、最も最近のビーイングDSA-3616 7月4日には、あなたが言及バグのパッチは、一週間後のソースコードツリーにコミットされました、 7月11日。
Wheezyのセキュリティサポートは、 2018年5月31日までLTS(長期サポート)チームと共に提供されており、Jessieは現在のリリースであるため、現在、通常のセキュリティアップデートを受け取っています。
このバグに苦しんでいるサポート対象のDebianリリースに対して、セキュリティパッチがすぐに期待できます。
Debianから出荷されたカーネルに脆弱性がない可能性もあります。CVE は「4.7より前」と書いていますが、私は文が文字通りの額面で受け取られることを疑っています。関連するコードはおそらくLinuxカーネルの最初のパブリックリリース(1991年頃)で導入されていなかったため、バージョン4.7より前であるという基準を満たすが脆弱ではないカーネルバージョンが論理的に存在している必要があります。現在のDebianリリースで出荷されているカーネルにこれが当てはまるかどうかは確認していません。
このバグの影響を受けるサポートされていないDebianリリースを実行している場合、またはすぐに修正が必要な場合は、修正を手動でバックポートするか、少なくともカーネル自体の最新リリースにアップグレードする必要があります。