我最近阅读了有关此 Linux TCP漏洞(CVE-2016-5696)的信息,该漏洞使攻击者可以破坏或劫持运行Linux的两台计算机(例如Web服务器和客户端)之间的连接。我知道该问题是在2012年Linux内核版本3.6中引入的,并且也会影响所有较新的版本。
目前(针对撰写本文的时间)尚未发布针对此问题的修复程序,但是由于这是一个重大错误,是否有任何解决方法?
Answers:
注意:由于历史原因,保留了“ 解决方法”部分,但是请跳至下面的“ 修复”部分。
如前所述这里:
好消息-是的,有个好消息-容易解决。首先,对Linux本身进行了修补,以阻止攻击源进入正轨。接下来,您只需将“挑战ACK限制”提高到一个非常大的值,以使实际上无法利用使攻击有效的 边信道问题。
由于此问题同时影响客户端和服务器,或者实际上影响通过网络进行通信的任何两台Linux计算机,因此在这两种方法中以及在发布修补程序后立即实施变通方法非常重要。
为了实施解决方法,请执行以下操作:
sudoedit /etc/sysctl.confnet.ipv4.tcp_challenge_ack_limit = 999999999插入文件并保存sudo sysctl -p以更新配置您也可以直接从终端执行操作:
sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'
要么:
echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf
然后运行:
sudo sysctl -p
如前所述这里:
net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,
with a likely release date of Aug 27. Earlier access to the kernels
with the fix will be available from the -proposed pocket, though they
come with the risk of being less tested.
现在发布了一个修复程序:
linux (4.4.0-36.55) xenial; urgency=low
[ Stefan Bader ]
* Release Tracking Bug
- LP: #1612305
* I2C touchpad does not work on AMD platform (LP: #1612006)
- SAUCE: pinctrl/amd: Remove the default de-bounce time
* CVE-2016-5696
- tcp: make challenge acks less predictable
-- Stefan Bader <stefan.bader@canonical.com> Thu, 11 Aug 2016 17:34:14 +0200
跑:
sudo apt-get update
sudo apt-get dist-upgrade
确保您具有最新版本。或者,如果您希望通过GUI进行更新,请使用软件更新程序。
您可以检查正在运行的版本以及哪个版本可用:
apt-cache policy linux-image-generic
echo 999999999 > /proc/sys/net/ipv4/tcp_challenge_ack_limit