LinuxのオフパスTCPエクスプロイトからシステムを保護するにはどうすればよいですか?


9

cve.mitre.orgによると、4.7より前のLinuxカーネルは「オフパス」TCPエクスプロイトに対して脆弱です

説明文

Linuxカーネル4.7より前のnet / ipv4 / tcp_input.cはチャレンジACKセグメントのレートを適切に決定しないため、中間者攻撃者がブラインドインウィンドウ攻撃を介してTCPセッションを乗っ取ることが容易になります。

攻撃者が攻撃を実行するにはIPアドレスが必要なだけなので、この脆弱性は危険であると見なされます。

Linuxカーネルを最新の安定したバージョンにアップグレード4.7.1することが、システムを保護する唯一の方法になりますか?

回答:


10

LWNによると、パッチを当てたカーネルがない場合に使用できる緩和策があります。

tcp_challenge_ack_limit sysctlつまみの形で利用可能な緩和策があります 。この値を非常に大きな値(例:)に設定999999999すると、攻撃者がこの欠陥を悪用することがはるかに困難になります。

でファイルを作成し/etc/sysctl.d、それをで実装して設定する必要がありますsysctl -a。ターミナルを開き(Ctrl+ Alt+を押すT)、次を実行します:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

ちなみに、セキュリティトラッカーでDebianのこの脆弱性の状態を追跡できます。


6

この質問にタグを付けたので、LinuxベースのDebianシステムを実行していると想定します。

関連するパッチこのバグを修正小さく、比較的そのバックポートのための最有力候補作り、単離しました。

Debianは通常、セキュリティ関連の修正を、サポートされているディストリビューションリリースで出荷されているソフトウェアバージョンにバックポートすることについて非常に優れています。彼らの2016年のためのセキュリティ勧告のリスト、現在のLinuxカーネル(に関連するリスト8つのセキュリティ勧告linuxおよびlinux-2.6パッケージ)、最も最近のビーイングDSA-3616 7月4日には、あなたが言及バグのパッチは、一週間後のソースコードツリーにコミットされました、 7月11日。

Wheezyのセキュリティサポートは、 2018年5月31日までLTS(長期サポート)チームと共に提供されており、Jessieは現在のリリースであるため、現在、通常のセキュリティアップデートを受け取っています。

このバグに苦しんでいるサポート対象のDebianリリースに対して、セキュリティパッチがすぐに期待できます。

Debianから出荷されたカーネルに脆弱性がない可能性もあります。CVE 「4.7より前」と書いてますが、私は文が文字通りの額面で受け取られることを疑っています。関連するコードはおそらくLinuxカーネルの最初のパブリックリリース(1991年頃)で導入されていなかったため、バージョン4.7より前であるという基準を満たすが脆弱ではないカーネルバージョンが論理的に存在している必要があります。現在のDebianリリースで出荷されているカーネルにこれが当てはまるかどうかは確認していません。

このバグの影響受けるサポートされていないDebianリリースを実行している場合、またはすぐに修正が必要な場合は、修正を手動でバックポートするか、少なくともカーネル自体の最新リリースにアップグレードする必要があります。


3
現在Debianで出荷されているカーネルは、セキュリティトラッカーで確認できるように脆弱です。本来のLinuxカーネルは3.6以降脆弱です。明らかに、Linux 3.2を使用しているwheezyでも、機能(およびバグ)がバックポートされたため、脆弱です。
ysdx

このコミットを含むLinux 3.2.37の変更ログを参照してください。
ysdx
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.