LinuxでオフパスTCP攻撃からシステムを保護するにはどうすればよいですか?

LinuxでオフパスTCP攻撃からシステムを保護するにはどうすればよいですか?

~によるとcve.mitre.org, 4.7 より前の Linux カーネルは、次の問題に対して脆弱です。「パス外」TCPの脆弱性

説明する

4.7 以前の Linux カーネルの net/ipv4/tcp_input.c は、チャレンジ ACK セグメントの割合を正しく決定できないため、中間者攻撃者がブラインドウィンドウ攻撃を介して TCP セッションをハイジャックすることが容易になります。

攻撃者が攻撃を実行するにはIPアドレスしか必要ないため、この脆弱性は危険と見なされます。

アップグレードするかどうかLinuxカーネル最新の安定版に切り替えることが4.7.1システムを保護する唯一の方法ですか?

答え1

~によると貯水温網カーネルにパッチを当てていない場合は、緩和方法を使用できます。

取っ手の形で安定感があります tcp_challenge_ack_limit sysctl。この値を大きな値(例999999999:)に設定すると、攻撃者が欠陥を悪用するのが難しくなります。

/etc/sysctl.dでファイルを作成し、それを使用して実装して設定する必要がありますsysctl -a。ターミナルを開き(++Ctrl押すAlt)、T次の操作を行います。

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

ところで、Debian ではこの脆弱性の状態を追跡できます。セキュリティトラッカー

答え2

この質問にタグを付けました。したがって、LinuxベースのDebianシステムを実行しているとします。

これ関連パッチこのバグに対する修正は規模が小さく比較的孤立しているため、バックポーティングの主な候補となります。

Debian は通常、サポートされているディストリビューションでリリースされているソフトウェアのバージョンに対するセキュリティ関連の修正をバックポートするのに非常に熟練しています。彼ら2016 セキュリティ掲示板一覧現在、Linuxカーネル(linuxおよびソフトウェアパッケージ)に関する8つのlinux-2.6セキュリティ推奨事項がリストされています。DSA-36167月4日。上記のバグのパッチは、1週間後の7月11日のソースツリーにコミットされました。

LTS(長期サポート)チームは、Wheezyのセキュリティサポートを提供します。2018年5月31日現在、Jessieは現在のバージョンで一般的なセキュリティアップデートを受けています。

早くセキュリティパッチが出たらいいですねこのバグの影響を受けるサポートDebianバージョンは廃止されました。

Debian に付属のカーネルも脆弱ではありません。CVEする「4.7より前」と呼ばれていますが、問題のコードがLinuxカーネルの最初の公開バージョン(1991年頃)に導入されていない可能性があるため、論理的には4.7 A標準より前に存在する必要があります。しかし、それほど脆弱ではないカーネルバージョンです。これが現在Debianリリースで提供されているカーネルで動作していることを確認していません。

サポートされておらず脆弱なDebianバージョンを実行している場合このバグの場合、またはすぐに修正が必要な場合は、修正を手動でバックポートするか、少なくともカーネル自体の最新バージョンにアップグレードする必要があります。

関連情報