cve.mitre.org 에 따르면 4.7 이전의 Linux 커널은 "오프 경로"TCP 공격에 취약 합니다.
기술
4.7 이전의 Linux 커널의 net / ipv4 / tcp_input.c는 ACK 챌린지 비율을 올바르게 결정하지 않으므로 중간자 공격자가 블라인드 인 윈도우 공격을 통해 TCP 세션을 쉽게 납치 할 수 있습니다.
침입자는 공격을 수행하기 위해 IP 주소 만 필요하기 때문에이 취약점은 위험한 것으로 간주됩니다.
Linux 커널 을 최신 안정 버전으로 업그레이드 하면4.7.1 시스템을 보호 할 수있는 유일한 방법이됩니까?
답변:
LWN 에 따르면 패치 된 커널이없는 동안 사용할 수있는 완화 기능이 있습니다.
tcp_challenge_ack_limitsysctl노브 형태로 사용 가능한 완화 기능이 있습니다 . 이 값을 거대한 것으로 설정하면 (예999999999:) 공격자가 결함을 악용하기가 훨씬 어려워집니다.
파일을 /etc/sysctl.d만든 다음로 구현 하여 파일을 설정해야합니다 sysctl -a. 터미널을 열고 ( Ctrl+ Alt+을 누름 T) 다음을 실행하십시오.
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
그건 그렇고, 당신은 보안 추적기 에서 데비안에서이 취약점의 상태를 추적 할 수 있습니다 .
이 질문에 debian 태그를 지정 했으므로 Linux 기반 데비안 시스템을 실행한다고 가정하겠습니다.
이 버그를 수정 하는 관련 패치 는 작고 상대적으로 격리되어있어 백 포트의 주요 후보입니다.
데비안은 일반적으로 보안 관련 수정 프로그램을 지원되는 배포 릴리스에서 제공하는 소프트웨어 버전으로 백 포트하는 데 매우 좋습니다. 그들의 2016 보안 권고 목록 현재 목록 리눅스 커널 (에 관한 여덟 개 보안 권고 linux및 linux-2.6패키지), 가장 최근의 존재 DSA-3616 7 월 4 일 당신이 일주일 후 소스 코드 트리에 투입되었다 언급 버그에 대한 패치에, 7 월 11 일
Wheezy에 대한 보안 지원은 2018 년 5 월 31 일까지 LTS (Long-Term Support) 팀 과 함께하며 Jessie는 현재 릴리스이므로 현재 보안 업데이트를 받고 있습니다.
이 버그로 고통받는 지원되는 데비안 릴리스에 대해서는 보안 패치가 곧 사라질 것으로 예상됩니다 .
데비안에서 제공하는 커널이 취약하지 않을 수도 있습니다. CVE 는 "4.7 이전"이라고 말하지만 문자 그대로 액면 값으로 진술을 할 수 있을지 의심 스럽다. 관련 코드는 Linux 커널의 첫 번째 공개 릴리스 (1991 년 정도)에 도입되지 않았을 것이므로 버전 4.7 이전의 기준을 충족하지만 취약하지 않은 커널 버전이 논리적으로 존재해야합니다. 이것이 현재 데비안 릴리스에서 제공되는 커널에 적용되는지 확인하지 않았습니다.
이 버그에 취약한 지원되지 않는 데비안 릴리스를 실행 중이 거나 즉시 수정이 필요한 경우 수정 사항을 수동으로 백 포트하거나 최소한 커널 자체의 최신 릴리스로 업그레이드해야 할 수 있습니다.