Wie schütze ich mein System vor dem Off-Path-TCP-Exploit unter Linux?

Laut cve.mitre.org ist der Linux-Kernel vor 4.7 anfällig für TCP-Exploits außerhalb des Pfades

Beschreibung

net / ipv4 / tcp_input.c im Linux-Kernel vor 4.7 bestimmt die Rate der ACK-Herausforderungssegmente nicht richtig, was es Man-in-the-Middle-Angreifern erleichtert, TCP-Sitzungen über einen blinden In-Window-Angriff zu entführen.

Diese Sicherheitsanfälligkeit wird als gefährlich angesehen, da der Angreifer nur eine IP-Adresse benötigt, um einen Angriff auszuführen.

Wird das Upgrade des Linux-Kernels auf die neueste stabile Version 4.7.1die einzige Möglichkeit sein, mein System zu schützen?

Laut LWN gibt es eine Schadensbegrenzung, die verwendet werden kann, wenn Sie keinen gepatchten Kernel haben:

Es gibt eine Abschwächung in Form des tcp_challenge_ack_limit sysctlKnopfes. Wenn Sie diesen Wert auf etwas Riesiges setzen (z. B. 999999999), wird es für Angreifer viel schwieriger, den Fehler auszunutzen.

Sie sollten es festlegen, indem Sie eine Datei erstellen /etc/sysctl.dund dann mit implementieren sysctl -a. Öffnen Sie ein Terminal (drücken Sie Ctrl+ Alt+ T) und führen Sie Folgendes aus:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Übrigens können Sie den Status dieser Sicherheitsanfälligkeit in Debian im Security Tracker verfolgen .

Sie haben diese Frage mit Debian markiert , daher gehe ich davon aus, dass Sie ein Linux-basiertes Debian-System verwenden.

Der relevante Patch , der diesen Fehler behebt, ist klein und relativ isoliert, was ihn zu einem Hauptkandidaten für das Backporting macht.

Debian ist normalerweise ziemlich gut darin, sicherheitsrelevante Korrekturen auf die Softwareversionen zurück zu portieren, die in unterstützten Distributionsversionen ausgeliefert werden. In der Liste der Sicherheitshinweise für 2016 sind derzeit acht Sicherheitshinweise zum Linux-Kernel ( linuxund zu den linux-2.6Paketen) aufgeführt, zuletzt DSA-3616 am 4. Juli. Der Patch für den von Ihnen erwähnten Fehler wurde eine Woche später in den Quellcodebaum übernommen. am 11. Juli.

Der Sicherheits-Support für Wheezy ist bis zum 31. Mai 2018 beim LTS-Team (Long-Term Support) verfügbar, und Jessie erhält derzeit aufgrund der aktuellen Version normale Sicherheitsupdates.

Ich würde bald einen Sicherheitspatch gegen unterstützte Debian-Releases erwarten, die unter diesem Fehler leiden.

Es ist auch möglich, dass die von Debian gelieferten Kernel nicht anfällig sind. Die CVE tut „vor 4.7“ sagen, aber ich bezweifle , dass Aussage kann bei wörtlicher bare Münze genommen werden; Der entsprechende Code wurde wahrscheinlich nicht in der ersten öffentlichen Version des Linux-Kernels (etwa 1991) eingeführt. Daher müssen logischerweise Kernelversionen vorhanden sein, die die Kriterien erfüllen, früher als Version 4.7 zu sein, aber nicht anfällig sind. Ich habe nicht überprüft, ob dies für die Kernel gilt, die von aktuellen Debian-Versionen ausgeliefert werden.

Wenn Sie eine nicht unterstützte Debian-Version ausführen, die für diesen Fehler anfällig ist , oder wenn Sie eine sofortige Korrektur benötigen, müssen Sie die Korrektur möglicherweise manuell zurückportieren oder zumindest vom Kernel selbst auf eine neuere Version aktualisieren.