当前位置: 首页>>技术问答>>正文


是否存在RFC 5961 Linux TCP缺陷的解决方法?

, , , , ,

问题描述

我最近读到this Linux的TCP漏洞(CVE-2016-5696),它允许攻击者破坏或劫持运行Linux(例如网络服务器和客户端)两台计算机之间的连接。我知道这个问题是在2012年Linux内核版本3.6中引入的,并且也影响了所有新版本。

目前尚未发布此修复程序(截至本文撰写时),但有没有解决方法,因为这是一个很大的错误?

最佳解决思路

注意:由于历史原因,已保留“变通方法”部分,但请跳至下面的“修复”部分。

解决方法:

如上所述here

The good news — and, yes, there is good news — is it’s easy to fix. First, Linux itself is being patched to stop the attack vector in its track. Next, you simply raise the ‘challenge ACK limit’ to an extremely large value to make it practically impossible to exploit the side channel problem that enabled the attack to work.

由于此问题会影响客户端和服务器,或者事实上任何两台Linux机器通过网络进行通信,因此在两者中实施变通方法并在修复程序发布后立即实施此方法非常重要。

要实施变通方法,请执行以下操作:

  1. 使用以下命令打开配置文件:sudoedit /etc/sysctl.conf

  2. net.ipv4.tcp_challenge_ack_limit = 999999999行插入文件并保存

  3. 运行sudo sysctl -p以更新配置


您也可以直接从终端进行操作:

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

要么:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

然后运行:

sudo sysctl -p

固定:

如上所述here

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

现在已经发布了修复程序:

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200

跑:

sudo apt-get update
sudo apt-get dist-upgrade

确保您拥有最新版本。如果您希望通过GUI更新,请使用软件更新程序。

您可以检查您正在运行的版本以及可用的版本:

apt-cache policy linux-image-generic

参考资料

本文由Ubuntu问答整理, 博文地址: https://ubuntuqa.com/article/6382.html,未经允许,请勿转载。