Як захистити свою систему від позашляхового використання TCP в Linux?

За даними cve.mitre.org , ядро ​​Linux до 4.7 є вразливим до експлуатування TCP "поза дорогою"

Опис

net / ipv4 / tcp_input.c в ядрі Linux до 4.7 не належним чином визначає швидкість виклику сегментів ACK, що полегшує зловмисникам людину-посередню захоплення TCP-сеансів за допомогою сліпої атаки у вікні.

Ця вразливість вважається небезпечною, оскільки для зловмисника просто потрібна IP-адреса.

Чи стане оновлення ядра Linux до останньої стабільної версії 4.7.1єдиним способом захисту моєї системи?

Згідно з LWN , є пом'якшення, яке можна використовувати, якщо у вас немає виправленого ядра:

є пом’якшення, доступне у формі tcp_challenge_ack_limit sysctlручки. Якщо встановити це значення на щось величезне (наприклад 999999999), зловмисникам буде значно складніше використовувати недолік.

Ви повинні встановити його, створивши файл у, /etc/sysctl.dа потім реалізуючи його sysctl -a. Відкрийте термінал (натисніть Ctrl+ Alt+ T) та запустіть:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

До речі, ви можете відстежувати стан цієї вразливості на Debian у трекері безпеки .

Ви позначели це питання debian , тож я вважаю, що ви використовуєте систему Debian на базі Linux.

Відповідний патч , який виправляє цю помилку , невеликий і відносно ізольований, що робить його головним кандидатом на Бекпорт.

Debian, як правило, непогано підтримує виправлення пов’язаних із безпекою виправлень програмних версій, які вони постачають у підтримуваних дистрибутивах. У їхньому списку рекомендацій щодо безпеки на 2016 рік в даний час перелічено вісім рекомендацій щодо безпеки, пов’язаних з ядром Linux ( linuxта linux-2.6пакетами), останній - DSA-3616 4 липня. Патч для помилки, яку ви згадуєте, був здійснений у дереві вихідного коду через тиждень, 11 липня.

Підтримка безпеки для Wheezy працює з командою LTS (Long-Term Support) до 31 травня 2018 року, і Джессі наразі отримує звичайні оновлення безпеки в силу поточного випуску.

Я б очікував, що скоро буде виправлено патч безпеки щодо підтримуваних версій Debian, які страждають від цієї помилки.

Можливо також, що ядра, що постачаються Debian, не є вразливими. CVE робить сказати «до 4.7», але я сумніваюся , що заява може бути прийнято в буквальному номінальної вартості; відповідний код, ймовірно, не був введений у першому публічному випуску ядра Linux (у 1991 р. або близько того), тому повинні логічно існувати версії ядра, які відповідають критеріям попередньої версії 4.7, але вони не є вразливими. Я не перевіряв, чи стосується це тих ядер, які постачаються поточними випусками Debian.

Якщо ви використовуєте непідтримуваний випуск Debian, який вразливий для цієї помилки, або якщо вам потрібно негайне виправлення, можливо, вам доведеться підтримувати виправлення вручну або оновити до більш пізнього випуску принаймні самого ядра.