根据cve.mitre.org的说法,4.7之前的Linux内核容易受到“偏离路径” TCP漏洞的攻击
描述
4.7之前的Linux内核中的net / ipv4 / tcp_input.c不能正确确定质询ACK段的速率,这使得中间人攻击者更容易通过盲目窗口内攻击来劫持TCP会话。
该漏洞被认为是危险的,因为攻击者仅需要IP地址即可执行攻击。
将Linux内核升级到最新的稳定版本是否4.7.1成为保护我的系统的唯一方法?
根据cve.mitre.org的说法,4.7之前的Linux内核容易受到“偏离路径” TCP漏洞的攻击
描述
4.7之前的Linux内核中的net / ipv4 / tcp_input.c不能正确确定质询ACK段的速率,这使得中间人攻击者更容易通过盲目窗口内攻击来劫持TCP会话。
该漏洞被认为是危险的,因为攻击者仅需要IP地址即可执行攻击。
将Linux内核升级到最新的稳定版本是否4.7.1成为保护我的系统的唯一方法?
Answers:
根据LWN,有一个缓解措施可以在没有补丁内核的情况下使用:
tcp_challenge_ack_limitsysctl旋钮形式有缓解措施 。将值设置为巨大的值(例如999999999)会使攻击者更加难以利用此漏洞。
您应该通过在中创建文件/etc/sysctl.d,然后使用实现该文件来进行设置sysctl -a。打开一个终端(按Ctrl+ Alt+ T),然后运行:
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
您标记了这个问题debian,所以我假设您正在运行基于Linux的Debian系统。
修复此错误的相关补丁很小,而且相对孤立,使其成为反向移植的主要候选者。
Debian通常非常擅长将与安全性相关的修补程序反向移植到支持的发行版本中随附的软件版本。他们的2016年安全公告列表当前列出了与Linux内核(linux和linux-2.6软件包)有关的八项安全公告,最近的一次是7月4日发布的DSA-3616。在7月11日。
Lee(长期支持)团队将为Wheezy提供安全支持,直到2018年5月31日为止,并且由于当前版本,Jessie当前正在接受常规的安全更新。
我希望针对受此错误困扰的受支持的Debian版本早日发布一个安全补丁。
Debian提供的内核也可能不容易受到攻击。CVE 确实说“在4.7之前”,但是我怀疑这种说法是否可以按字面值来理解;相关代码可能未在Linux内核的第一个公开发行版中(在1991年左右)引入,因此在逻辑上必须存在符合4.7版之前的标准但不易受攻击的内核版本。我还没有检查过这是否适用于当前Debian发行版中提供的那些内核。
如果您正在运行容易受此错误影响的不受支持的Debian发行版,或者需要立即修复,则可能必须手动向后移植此修复程序,或者至少升级到内核本身的最新发行版。