當前位置: 首頁>>技術問答>>正文


是否存在RFC 5961 Linux TCP缺陷的解決方法?

, , , , ,

問題描述

我最近讀到this Linux的TCP漏洞(CVE-2016-5696),它允許攻擊者破壞或劫持運行Linux(例如網絡服務器和客戶端)兩台計算機之間的連接。我知道這個問題是在2012年Linux內核版本3.6中引入的,並且也影響了所有新版本。

目前尚未發布此修複程序(截至本文撰寫時),但有沒有解決方法,因為這是一個很大的錯誤?

最佳解決思路

注意:由於曆史原因,已保留“變通方法”部分,但請跳至下麵的“修複”部分。

解決方法:

如上所述here

The good news — and, yes, there is good news — is it’s easy to fix. First, Linux itself is being patched to stop the attack vector in its track. Next, you simply raise the ‘challenge ACK limit’ to an extremely large value to make it practically impossible to exploit the side channel problem that enabled the attack to work.

由於此問題會影響客戶端和服務器,或者事實上任何兩台Linux機器通過網絡進行通信,因此在兩者中實施變通方法並在修複程序發布後立即實施此方法非常重要。

要實施變通方法,請執行以下操作:

  1. 使用以下命令打開配置文件:sudoedit /etc/sysctl.conf

  2. net.ipv4.tcp_challenge_ack_limit = 999999999行插入文件並保存

  3. 運行sudo sysctl -p以更新配置


您也可以直接從終端進行操作:

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

要麽:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

然後運行:

sudo sysctl -p

固定:

如上所述here

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

現在已經發布了修複程序:

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200

跑:

sudo apt-get update
sudo apt-get dist-upgrade

確保您擁有最新版本。如果您希望通過GUI更新,請使用軟件更新程序。

您可以檢查您正在運行的版本以及可用的版本:

apt-cache policy linux-image-generic

參考資料

本文由Ubuntu問答整理, 博文地址: https://ubuntuqa.com/zh-tw/article/6382.html,未經允許,請勿轉載。