是否存在RFC 5961 Linux TCP缺陷的解决方法?

Modified on: Sat, 09 Jun 2018 05:54:53 +0800

我最近阅读了这个 Linux TCP漏洞(CVE-2016-5696)允许攻击者破坏或劫持运行Linux的两台机器(例如网络服务器和客户端)之间的连接。我知道这个问题是在2012年Linux内核版本3.6中引入的,并且也会影响所有新版本。

目前尚未发布此修复程序(截至本文撰写时),但有没有解决方法,因为这是一个很大的错误?

最佳答案

注意:由于历史原因,保留了解决方法部分,但请跳到下面的修复部分。

解决方法:

如上所述此处

  

好消息 - 是的,有好消息 - 它很容易解决。
  首先,Linux本身正在修补以阻止它的攻击向量
  跟踪。接下来,您只需将“质询ACK限制”提升为
  非常大的价值,使它几乎不可能利用
  旁道问题使攻击有效。

由于此问题影响客户端和服务器,或实际上任何两台Linux机器通过网络进行通信,因此在两者中实施变通方法非常重要,并且一旦发布就立即实施。

要实施变通方法,请执行以下操作:

  1. 打开配置文件:sudoedit /etc/sysctl.conf
  2. net.ipv4.tcp_challenge_ack_limit = 999999999行插入文件并保存
  3. 运行sudo sysctl -p以更新配置
  4. 醇>

    您也可以直接从终端进行操作:

    sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'
    

    或者:

    echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf
    

    然后运行:

    sudo sysctl -p
    

    修正:

    此处所述:

    4.7之前的Linux内核中的
    net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
    determine the rate of challenge ACK segments, which makes it easier for
    man-in-the-middle attackers to hijack TCP sessions via a blind in-window
    attack.
    ...
    sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
    with a likely release date of Aug 27. Earlier access to the kernels  
    with the fix will be available from the -proposed pocket, though they 
    come with the risk of being less tested.
    

    现在已经发布了修复程序:

    linux (4.4.0-36.55) xenial; urgency=low
    
      [ Stefan Bader ]
    
      * Release Tracking Bug
        - LP: #1612305
    
      * I2C touchpad does not work on AMD platform (LP: #1612006)
        - SAUCE: pinctrl/amd: Remove the default de-bounce time
    
      * CVE-2016-5696
        - tcp: make challenge acks less predictable
    
     -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200
    

    执行命令

    sudo apt-get update
    sudo apt-get dist-upgrade
    

    确保您拥有最新版本。如果您希望通过GUI进行更新,请使用软件更新程序。

    您可以查看您正在运行的版本以及可用的版本:

    apt-cache policy linux-image-generic
    

相关问答

添加新评论