Bagaimana cara melindungi sistem saya dari eksploitasi TCP jalur di Linux?


9

Menurut cve.mitre.org , kernel Linux sebelum 4.7 rentan terhadap eksploitasi TCP "off-path"

Deskripsi

net / ipv4 / tcp_input.c di kernel Linux sebelum 4.7 tidak benar menentukan tingkat tantangan segmen ACK, yang membuatnya lebih mudah bagi para penyerang man-in-the-middle untuk membajak sesi TCP melalui serangan blind-in-window.

Kerentanan ini dianggap berbahaya karena penyerang hanya perlu alamat IP untuk melakukan serangan.

Apakah meningkatkan kernel Linux ke versi stabil terbaru 4.7.1,, menjadi satu-satunya cara untuk melindungi sistem saya?

Jawaban:


10

Menurut LWN ada mitigasi yang dapat digunakan saat Anda tidak memiliki kernel yang ditambal:

ada mitigasi yang tersedia dalam bentuk tcp_challenge_ack_limit sysctlkenop. Menetapkan nilai itu pada sesuatu yang sangat besar (mis. 999999999) Akan membuat penyerang lebih sulit mengeksploitasi kelemahannya.

Anda harus mengaturnya dengan membuat file di /etc/sysctl.ddan kemudian mengimplementasikannya dengan sysctl -a. Buka terminal (tekan Ctrl+ Alt+ T), dan jalankan:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Omong-omong, Anda dapat melacak status kerentanan ini pada Debian di pelacak keamanan .


6

Anda menandai pertanyaan ini , jadi saya akan berasumsi bahwa Anda menjalankan sistem Debian berbasis Linux.

The Patch yang relevan yang perbaikan bug ini kecil dan relatif terisolasi, membuatnya menjadi kandidat utama untuk backporting.

Debian biasanya cukup baik tentang backporting perbaikan terkait keamanan ke versi perangkat lunak yang dikirim pada rilis distribusi yang didukung. Daftar penasehat keamanan mereka untuk 2016 saat ini daftar delapan penasehat keamanan yang berkaitan dengan kernel Linux ( linuxdan linux-2.6paket), yang terbaru adalah DSA-3616 pada 4 Juli. Patch untuk bug yang Anda sebutkan berkomitmen untuk pohon kode sumber seminggu kemudian, pada 11 Juli.

Dukungan keamanan untuk Wheezy ada bersama tim LTS (Long-Term Support) hingga 31 Mei 2018, dan Jessie saat ini menerima pembaruan keamanan normal berdasarkan rilis yang saat ini.

Saya berharap patch keamanan segera terhadap rilis Debian yang didukung menderita dari bug ini.

Mungkin juga kernel yang dikirim oleh Debian tidak rentan. CVE memang mengatakan "sebelum 4.7", tapi saya ragu pernyataan itu bisa diambil pada nilai nominalnya; kode yang relevan mungkin belum diperkenalkan pada rilis publik pertama dari kernel Linux (pada tahun 1991 atau lebih) sehingga secara logis harus ada versi kernel yang memenuhi kriteria lebih awal dari versi 4.7 tetapi tidak rentan. Saya belum memeriksa untuk melihat apakah ini berlaku untuk kernel yang dikirim oleh rilis Debian saat ini.

Jika Anda menjalankan rilis Debian yang tidak didukung yang rentan terhadap bug ini, atau jika Anda memerlukan perbaikan segera, maka Anda mungkin harus mendukung perbaikan secara manual atau meningkatkan ke rilis yang lebih baru setidaknya dari kernel itu sendiri.


3
Kernel yang saat ini dikirim oleh Debian rentan karena dapat dilihat di pelacak keamanan mereka . Kernel Linux yang masih asli rentan sejak 3.6. Ternyata, bahkan wheezy yang menggunakan Linux 3.2 rentan karena fitur (dan bug) telah di-backport.
ysdx

Lihat changelog untuk Linux 3.2.37 yang mencakup komit ini.
ysdx
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.