Jak chronić swój system przed exploitem TCP off-path w Linuksie?

9

Według cve.mitre.org jądro Linuksa przed wersją 4.7 jest podatne na exploity TCP „off-path”

Opis

net / ipv4 / tcp_input.c w jądrze Linuksa przed wersją 4.7 nie określa poprawnie częstotliwości wyzwań segmentów ACK, co ułatwia atakującym typu man-in-the-middle przejmowanie sesji TCP przez ślepy atak w oknie.

Luka ta jest uważana za niebezpieczną, ponieważ osoba atakująca potrzebuje tylko adresu IP do przeprowadzenia ataku.

Czy aktualizacja jądra Linuksa do najnowszej stabilnej wersji 4.7.1stanie się jedynym sposobem ochrony mojego systemu?

GAD3R
źródło

Odpowiedzi:

10

Według LWN istnieje ograniczenie, którego można użyć, gdy nie masz łatanego jądra:

dostępne jest ograniczenie w postaci tcp_challenge_ack_limit sysctlpokrętła. Ustawienie tej wartości na coś ogromnego (np. 999999999) Znacznie utrudni atakującym wykorzystanie usterki.

Powinieneś to ustawić, tworząc plik, /etc/sysctl.da następnie implementując go sysctl -a. Otwórz terminal (naciśnij Ctrl+ Alt+ T) i uruchom:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Nawiasem mówiąc, możesz śledzić stan tej luki w Debianie w module do śledzenia bezpieczeństwa .

ysdx
źródło
6

Oznaczono to pytanie , więc , że korzystasz z systemu Debian opartego na systemie Linux.

Istotne łaty , które naprawia ten błąd jest stosunkowo niewielki i izolowany, co czyni go głównym kandydatem do backport.

Debian zazwyczaj dobrze radzi sobie z backportowaniem poprawek bezpieczeństwa do wersji oprogramowania, które wysyłają w obsługiwanych wersjach dystrybucyjnych. Ich lista zaleceń bezpieczeństwa na 2016 r. Zawiera obecnie osiem wskazówek bezpieczeństwa dotyczących jądra systemu Linux ( linuxi linux-2.6pakietów), z których najnowszy to DSA-3616 4 lipca. Łata dla wspomnianego błędu została wprowadzona do drzewa kodu źródłowego tydzień później, 11 lipca.

Wsparcie bezpieczeństwa dla Wheezy jest udzielane przez zespół LTS (Long-Term Support) do 31 maja 2018 r., A Jessie otrzymuje obecnie normalne aktualizacje zabezpieczeń ze względu na to, że jest aktualną wersją.

Spodziewałbym się wkrótce łatki bezpieczeństwa przeciwko obsługiwanym wersjom Debiana cierpiącym na ten błąd.

Możliwe jest również, że jądra dostarczane przez Debiana nie są wrażliwe. CVE nie powiedzieć „przed 4.7”, ale wątpię, że oświadczenie może być podjęta w dosłownym wartości nominalnej; odpowiedni kod prawdopodobnie nie został wprowadzony w pierwszym publicznym wydaniu jądra Linuksa (w 1991 roku), więc logicznie muszą istnieć wersje jądra, które spełniają kryteria bycia wcześniejszym niż wersja 4.7, ale które nie są wrażliwe. Nie sprawdziłem, czy dotyczy to jądra dostarczanego przez bieżące wydania Debiana.

Jeśli korzystasz z nieobsługiwanego wydania Debiana, które jest podatne na ten błąd, lub jeśli potrzebujesz natychmiastowej poprawki, być może będziesz musiał ręcznie zaimportować poprawkę lub uaktualnić ją do nowszej wersji przynajmniej samego jądra.

CVn
źródło
3
Jądro obecnie dostarczane przez Debiana jest podatne na ataki, co widać w ich narzędziu do śledzenia bezpieczeństwa . Nieskazitelne jądro Linuksa jest podatne na atak od wersji 3.6. Najwyraźniej nawet wheezy korzystający z Linuksa 3.2 jest podatny na atak, ponieważ funkcja (i błąd) została przeniesiona.
ysdx,
Zobacz dziennik zmian dla Linuksa 3.2.37, który zawiera to zatwierdzenie.
ysdx,