Существует ли обходное решение для Linux RFC 5961 дефект TCP?

Question 1

Я недавно читал об этом дефекте TCP Linux (CVE-2016-5696), который позволяет взломщику повреждать или угонять соединение между двумя машинами, запускающими Linux (например, веб-сервер и клиент). Я понимаю, что проблема была представлена назад в 2012 в версии 3.6 ядра Linux и влияет на все более новые версии также.

В настоящее время фиксация для этого не была выпущена (как время этой записи), но является там какими-либо обходными решениями, поскольку это - вполне главная ошибка?

Question 2

Примечание: раздел Workaround был сохранен по историческим причинам, однако пропустите вниз к раздел Fix ниже.

Обходное решение:

, Как указано здесь :

хорошие новости - и, да, существуют хорошие новости - легко зафиксировать. Во-первых, сам Linux исправляется для остановки вектора атаки в его дорожке. Затем, Вы просто создаете 'проблему предел ACK' чрезвычайно большому значению для создания практически невозможным использовать проблема с каналом стороны, которая позволила нападению работать.

, Поскольку эта проблема влияет на обоих клиент и сервер или на самом деле любые две машины Linux, обсуждая сеть, важно реализовать обходное решение в обоих и фиксацию, как только это выпущено.

для реализации обходного решения, делают следующее:

Открывают файл конфигурации с: sudoedit /etc/sysctl.conf
Вставляют строку net.ipv4.tcp_challenge_ack_limit = 999999999 в файл и сохраняют его
Выполнение sudo sysctl -p для обновления конфигурации

<час>

, можно также сделать операцию непосредственно от Терминала:

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

Или:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

Затем выполненный:

sudo sysctl -p

<час>

Зафиксируйте:

, Как указано здесь :

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

И фиксация был теперь выпущен:

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200

Выполнение:

sudo apt-get update
sudo apt-get dist-upgrade

Для проверки у Вас есть последняя версия. Или используйте программное обеспечение Updater, если Вы предпочли бы обновлять через GUI.

можно проверить, какую версию Вы выполняете и который доступен с:

apt-cache policy linux-image-generic

score 29 · Accepted Answer · 23 November 2019 в 00:59

Примечание: раздел Workaround был сохранен по историческим причинам, однако пропустите вниз к раздел Fix ниже.

Обходное решение:

, Как указано здесь :

хорошие новости - и, да, существуют хорошие новости - легко зафиксировать. Во-первых, сам Linux исправляется для остановки вектора атаки в его дорожке. Затем, Вы просто создаете 'проблему предел ACK' чрезвычайно большому значению для создания практически невозможным использовать проблема с каналом стороны, которая позволила нападению работать.

, Поскольку эта проблема влияет на обоих клиент и сервер или на самом деле любые две машины Linux, обсуждая сеть, важно реализовать обходное решение в обоих и фиксацию, как только это выпущено.

для реализации обходного решения, делают следующее:

Открывают файл конфигурации с: sudoedit /etc/sysctl.conf
Вставляют строку net.ipv4.tcp_challenge_ack_limit = 999999999 в файл и сохраняют его
Выполнение sudo sysctl -p для обновления конфигурации

<час>

, можно также сделать операцию непосредственно от Терминала:

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

Или:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

Затем выполненный:

sudo sysctl -p

<час>

Зафиксируйте:

, Как указано здесь :

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

И фиксация был теперь выпущен:

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200

Выполнение:

sudo apt-get update
sudo apt-get dist-upgrade

Для проверки у Вас есть последняя версия. Или используйте программное обеспечение Updater, если Вы предпочли бы обновлять через GUI.

можно проверить, какую версию Вы выполняете и который доступен с:

apt-cache policy linux-image-generic

Существует ли обходное решение для Linux RFC 5961 дефект TCP?

1 ответ

Обходное решение:

Зафиксируйте:

Другие вопросы по тегам:

Похожие вопросы: