Existe uma solução para a falha do TCP RFC 5961 no Linux?

Navegue suas respostas
29

Li recentemente sobre este falha no TCP do Linux ( CVE-2016-5696 ) que permite que um invasor interrompa ou intercepte uma conexão entre duas máquinas que executam o Linux (por exemplo, um servidor da web e um cliente). Eu entendo que o problema foi introduzido em 2012 no kernel Linux versão 3.6 e também afeta todas as versões mais recentes.

Atualmente, uma correção para isso não foi liberada (como o tempo de escrita deste artigo), mas existem soluções alternativas, já que isso é um grande bug?

    
por Great Uncle Bulgaria 14.08.2016 / 00:34

1 resposta

30

Observação: a seção Solução alternativa foi mantida por motivos históricos. No entanto, pule para a seção Corrigir abaixo.

Solução alternativa:

Como declarado aqui :

  

A boa notícia - e, sim, há boas notícias - é fácil de corrigir.   Primeiro, o próprio Linux está sendo corrigido para parar o vetor de ataque em seu   faixa. Em seguida, você simplesmente aumenta o 'limite de ACK do desafio' para um   valor extremamente grande para tornar praticamente impossível explorar   Problema canal lateral que permitiu que o ataque funcionasse.

Como esse problema afeta o cliente e o servidor ou, na verdade, quaisquer duas máquinas Linux conversando pela rede, é importante implementar a solução alternativa em ambos e a correção assim que for lançada.

Para implementar a solução alternativa, faça o seguinte:

  1. Abra o arquivo de configuração com: sudoedit /etc/sysctl.conf
  2. Insira a linha net.ipv4.tcp_challenge_ack_limit = 999999999 no arquivo e salve-a
  3. Executar sudo sysctl -p para atualizar a configuração

Você também pode fazer a operação diretamente do Terminal: 

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

Ou: 

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

Em seguida, execute: 

sudo sysctl -p

Correção:

Conforme declarado aqui : 

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

E uma correção foi lançada agora: 

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <[email protected]>  Thu, 11 Aug 2016 17:34:14 +0200

Executar: 

sudo apt-get update
sudo apt-get dist-upgrade

Para garantir que você tenha a versão mais recente. Ou use o Atualizador de Software se você preferir atualizar através da GUI.

Você pode verificar qual versão está sendo executada e qual está disponível em: 

apt-cache policy linux-image-generic
    
por Great Uncle Bulgaria 14.08.2016 / 00:34

Tags

Como supervisionar e reiniciar automaticamente um processo? Alterando a Propriedade: “Operação não permitida” - mesmo como root!