Como eu protejo meu sistema contra o exploit TCP fora do caminho no Linux?

9

De acordo com o cve.mitre.org , o kernel do Linux antes de 4.7 é vulnerável a explorações TCP “fora do caminho”

Description

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly determine the rate of challenge ACK segments, which makes it easier for man-in-the-middle attackers to hijack TCP sessions via a blind in-window attack.

Esta vulnerabilidade é considerada perigosa porque o invasor precisa apenas de um endereço IP para realizar um ataque.

A atualização do kernel do Linux para a última versão estável, 4.7.1 , tornou-se a única maneira de proteger meu sistema?

    
por GAD3R 20.08.2016 / 15:44

2 respostas

10

De acordo com o LWN , há uma atenuação que pode ser usada enquanto você não tiver um kernel corrigido:

there is a mitigation available in the form of the tcp_challenge_ack_limit sysctl knob. Setting that value to something enormous (e.g. 999999999) will make it much harder for attackers to exploit the flaw.

Você deve defini-lo criando um arquivo em /etc/sysctl.d e, em seguida, implementando-o com sysctl -a . Abra um terminal (pressione Ctrl + Alt + T ), e execute:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

A propósito, você pode rastrear o estado dessa vulnerabilidade no Debian no rastreador de segurança .

    
por 20.08.2016 / 16:09
6

Você marcou essa pergunta , por isso vou supor que você é executando um sistema Debian baseado em Linux.

O patch relevante que corrige esse bug é pequeno e relativamente isolado, o que o torna um excelente candidato a backporting.

O Debian geralmente é muito bom em fazer backport de correções relacionadas à segurança para as versões de software que eles estão enviando em versões de distribuição suportadas. A sua lista de avisos de segurança para 2016 atualmente lista oito alertas de segurança relacionados ao kernel do Linux ( linux e linux-2.6 packages ), sendo o mais recente DSA-3616 em 4 de julho. O patch para o bug que você mencionou foi confirmado para a árvore do código-fonte uma semana depois, em 11 de julho.

O suporte de segurança para Wheezy está com a equipe LTS (Long-Term Support) até 31 de maio de 2018, e Jessie está atualmente recebendo atualizações de segurança normais em virtude de ser a versão atual.

Eu esperaria um patch de segurança em breve contra as versões suportadas do Debian que sofrem deste bug.

Também é possível que os kernels enviados pela Debian não sejam vulneráveis. O CVE faz dizer "antes de 4.7", mas duvido que a declaração possa ser feita literalmente valor; o código relevante provavelmente não foi introduzido na primeira versão pública do kernel do Linux (em 1991), portanto, devem existir logicamente versões do kernel que atendam aos critérios de serem anteriores à versão 4.7, mas que não sejam vulneráveis. Eu não verifiquei se isso se aplica aos kernels que estão sendo enviados pelas versões atuais do Debian.

Se você está executando uma versão do Debian não suportada que é vulnerável a este bug, ou se você precisar de uma correção imediata, então você pode ter que retroceder a correção manualmente ou atualizar para uma versão mais recente em menos do kernel em si.

    
por 20.08.2016 / 16:02