GNU/Linux >> Linux Esercitazione >  >> Linux

Come posso proteggere il mio sistema dall'exploit TCP Off-path in Linux?

Secondo LWN esiste una mitigazione che può essere utilizzata mentre non si dispone di un kernel patchato:

è disponibile una mitigazione sotto forma di tcp_challenge_ack_limit sysctl pomello. Impostando quel valore su qualcosa di enorme (ad es. 999999999 ) renderà molto più difficile per gli aggressori sfruttare la falla.

Dovresti impostarlo creando un file in /etc/sysctl.d e poi implementarlo con sysctl -a . Apri un terminale (premi Ctrl +Alt +T ), ed esegui:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

A proposito, puoi tenere traccia dello stato di questa vulnerabilità su Debian nel security tracker.


Hai taggato questa domanda debian, quindi presumo che tu stia eseguendo un sistema Debian basato su Linux.

La patch pertinente che corregge questo bug è piccola e relativamente isolata, il che la rende un ottimo candidato per il backporting.

Debian di solito è abbastanza brava nel backport delle correzioni relative alla sicurezza alle versioni del software che stanno inviando nelle versioni di distribuzione supportate. Il loro elenco di avvisi di sicurezza per il 2016 elenca attualmente otto avvisi di sicurezza relativi al kernel Linux (linux e linux-2.6 packages), il più recente è stato DSA-3616 il 4 luglio. La patch per il bug che hai menzionato è stata inserita nell'albero del codice sorgente una settimana dopo, l'11 luglio.

Il supporto di sicurezza per Wheezy è con il team LTS (Long-Term Support) fino al 31 maggio 2018 e Jessie sta attualmente ricevendo i normali aggiornamenti di sicurezza in quanto versione attuale.

Mi aspetterei presto una patch di sicurezza contro i rilasci Debian supportati che soffrono di questo bug.

È anche possibile che i kernel forniti da Debian non siano vulnerabili. Il CVE fa dì "prima di 4.7", ma dubito che questa affermazione possa essere presa alla lettera; il relativo codice probabilmente non era stato introdotto nella prima versione pubblica del kernel Linux (nel 1991 o giù di lì) quindi devono logicamente esistere versioni del kernel che soddisfano i criteri di essere precedenti alla versione 4.7 ma che non sono vulnerabili. Non ho controllato per vedere se questo si applica a quei kernel forniti dalle attuali versioni di Debian.

Se stai eseguendo una versione Debian non supportata che è vulnerabile a questo bug, o se hai bisogno di una correzione immediata, potresti dover eseguire manualmente il backport della correzione o aggiornare a una versione più recente almeno del kernel stesso.


Linux

  1. Come controllare la versione del sistema operativo e di Linux

  2. Come puoi proteggere il tuo computer?

  3. Sicurezza Linux:proteggi i tuoi sistemi con fail2ban

  4. Come cambiare l'identità di un sistema Linux

  5. Linux:come trovare le implementazioni delle chiamate di sistema del kernel Linux?

Come modificare la shell predefinita nel sistema Linux

Linux:come installare X11 sul proprio sistema Linux Buildroot?

Come utilizzare il comando fd sul sistema Linux

Come configurare il cluster RabbitMQ su Ubuntu/Debian Linux

Come modificare il nome host su Debian Linux

Come eseguire il downgrade dei pacchetti su un sistema Linux:la guida definitiva