최근 에이 Linux TCP 결함 ( CVE-2016-5696 ) 에 대해 읽은 공격자는 Linux를 실행하는 두 컴퓨터 (예 : 웹 서버 및 클라이언트) 간의 연결을 끊거나 가로 챌 수 있습니다. 이 문제는 2012 년에 Linux 커널 버전 3.6에서 다시 도입되었으며 모든 최신 버전에도 영향을 미친다는 것을 이해합니다.
현재이 문제에 대한 픽스는 릴리스되지 않았지만 (이 글을 쓰는 시점에) 해결 방법이 있습니까?
답변:
참고 : 해결 방법 섹션은 역사적 이유로 유지되었지만 아래 수정 섹션으로 건너 뛰십시오 .
여기에 명시된 바와 같이 :
좋은 소식은 그렇습니다. 좋은 소식이 있습니다. 쉽게 고칠 수 있습니다. 우선, 리눅스 자체가 패치되어 공격 경로를 막을 수 있습니다. 다음으로, '챌린지 ACK 한계'를 매우 큰 값으로 올리면 공격이 가능한 부수 채널 문제 를 악용 할 수 없게됩니다 .
이 문제는 클라이언트와 서버 모두에 영향을 주거나 실제로 네트워크를 통해 통신하는 두 Linux 시스템에 영향을 미치므로 해결 방법과 수정 사항이 릴리스되는 즉시 수정하는 것이 중요합니다.
해결 방법을 구현하려면 다음을 수행하십시오.
sudoedit /etc/sysctl.confnet.ipv4.tcp_challenge_ack_limit = 999999999파일에 줄 을 삽입 하고 저장하십시오sudo sysctl -p구성을 업데이트하기 위해 실행터미널에서 직접 작업을 수행 할 수도 있습니다.
sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'
또는:
echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf
그런 다음 다음을 실행하십시오.
sudo sysctl -p
여기에 명시된 바와 같이 :
net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,
with a likely release date of Aug 27. Earlier access to the kernels
with the fix will be available from the -proposed pocket, though they
come with the risk of being less tested.
그리고 수정 사항이 릴리스되었습니다 :
linux (4.4.0-36.55) xenial; urgency=low
[ Stefan Bader ]
* Release Tracking Bug
- LP: #1612305
* I2C touchpad does not work on AMD platform (LP: #1612006)
- SAUCE: pinctrl/amd: Remove the default de-bounce time
* CVE-2016-5696
- tcp: make challenge acks less predictable
-- Stefan Bader <stefan.bader@canonical.com> Thu, 11 Aug 2016 17:34:14 +0200
운영:
sudo apt-get update
sudo apt-get dist-upgrade
최신 버전인지 확인하십시오. 또는 GUI를 통해 업데이트하려면 소프트웨어 업데이터를 사용하십시오.
실행중인 버전과 사용 가능한 버전을 확인할 수 있습니다.
apt-cache policy linux-image-generic
echo 999999999 > /proc/sys/net/ipv4/tcp_challenge_ack_limit