GAD*_*D3R 9 linux security debian vulnerability
根据cve.mitre.org 的说法,4.7 之前的 Linux 内核容易受到“Off-path”TCP 攻击
描述
4.7 之前的 Linux 内核中的 net/ipv4/tcp_input.c 没有正确确定挑战 ACK 段的速率,这使得中间人攻击者更容易通过窗口盲攻击来劫持 TCP 会话。
这个漏洞被认为是危险的,因为攻击者只需要一个 IP 地址来执行攻击。
将 Linux 内核升级到最新的稳定版本4.7.1,是否成为保护我系统的唯一方法?
ysd*_*sdx 10
根据LWN,当您没有修补内核时,可以使用一种缓解措施:
有
tcp_challenge_ack_limitsysctl旋钮形式的缓解措施 。将该值设置为巨大的值(例如999999999)将使攻击者更难利用该缺陷。
您应该通过在其中创建一个文件/etc/sysctl.d然后使用sysctl -a. 打开终端(按Ctrl+ Alt+ T),然后运行:
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
顺便说一下,您可以在 Debian 的security tracker 中跟踪此漏洞的状态。
您将此问题标记为debian,因此我假设您正在运行基于 Linux 的 Debian 系统。
修复此错误的相关补丁很小且相对孤立,使其成为向后移植的主要候选者。
Debian 通常非常擅长将与安全相关的修复程序向后移植到他们在受支持的发行版上发布的软件版本。他们2016 年的安全建议列表目前列出了 8 个与 Linux 内核(linux和linux-2.6软件包)相关的安全建议,最近的是7 月 4 日的DSA-3616。一周后,您提到的漏洞补丁已提交到源代码树中, 7 月 11 日。
Wheezy 的安全支持由 LTS(长期支持)团队提供,直到 2018 年 5 月 31 日,Jessie 目前正在接收正常的安全更新,因为它是当前版本。
我希望针对受此错误影响的受支持 Debian 发行版尽快发布安全补丁。
Debian 提供的内核也有可能不易受到攻击。CVE确实说“在 4.7 之前”,但我怀疑这种说法能否从字面上看;相关代码可能没有在 Linux 内核的第一个公开发行版(大约在 1991 年左右)中引入,因此逻辑上必须存在满足早于 4.7 版但不易受攻击的标准的内核版本。我还没有检查这是否适用于当前 Debian 发行版提供的那些内核。
如果您正在运行一个不受支持的 Debian 版本,该版本容易受到此错误的影响,或者如果您需要立即修复,那么您可能必须手动向后移植修复程序或至少升级到内核本身的更新版本。
| 归档时间: |
|
| 查看次数: |
1033 次 |
| 最近记录: |