Linux에서 오프 패스 TCP 익스플로잇으로부터 시스템을 어떻게 보호합니까?


9

cve.mitre.org 에 따르면 4.7 이전의 Linux 커널은 "오프 경로"TCP 공격에 취약 합니다.

기술

4.7 이전의 Linux 커널의 net / ipv4 / tcp_input.c는 ACK 챌린지 비율을 올바르게 결정하지 않으므로 중간자 공격자가 블라인드 인 윈도우 공격을 통해 TCP 세션을 쉽게 납치 할 수 있습니다.

침입자는 공격을 수행하기 위해 IP 주소 만 필요하기 때문에이 취약점은 위험한 것으로 간주됩니다.

Linux 커널 을 최신 안정 버전으로 업그레이드 하면4.7.1 시스템을 보호 할 수있는 유일한 방법이됩니까?

답변:


10

LWN 에 따르면 패치 된 커널이없는 동안 사용할 수있는 완화 기능이 있습니다.

tcp_challenge_ack_limit sysctl노브 형태로 사용 가능한 완화 기능이 있습니다 . 이 값을 거대한 것으로 설정하면 (예 999999999:) 공격자가 결함을 악용하기가 훨씬 어려워집니다.

파일을 /etc/sysctl.d만든 다음로 구현 하여 파일을 설정해야합니다 sysctl -a. 터미널을 열고 ( Ctrl+ Alt+을 누름 T) 다음을 실행하십시오.

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

그건 그렇고, 당신은 보안 추적기 에서 데비안에서이 취약점의 상태를 추적 할 수 있습니다 .


6

이 질문에 태그를 지정 했으므로 Linux 기반 데비안 시스템을 실행한다고 가정하겠습니다.

이 버그를 수정 하는 관련 패치 는 작고 상대적으로 격리되어있어 백 포트의 주요 후보입니다.

데비안은 일반적으로 보안 관련 수정 프로그램을 지원되는 배포 릴리스에서 제공하는 소프트웨어 버전으로 백 포트하는 데 매우 좋습니다. 그들의 2016 보안 권고 목록 현재 목록 리눅스 커널 (에 관한 여덟 개 보안 권고 linuxlinux-2.6패키지), 가장 최근의 존재 DSA-3616 7 월 4 일 당신이 일주일 후 소스 코드 트리에 투입되었다 언급 버그에 대한 패치에, 7 월 11 일

Wheezy에 대한 보안 지원은 2018 년 5 월 31 일까지 LTS (Long-Term Support) 팀 과 함께하며 Jessie는 현재 릴리스이므로 현재 보안 업데이트를 받고 있습니다.

이 버그로 고통받는 지원되는 데비안 릴리스에 대해서는 보안 패치가 곧 사라질 것으로 예상됩니다 .

데비안에서 제공하는 커널이 취약하지 않을 수도 있습니다. CVE "4.7 이전"이라고 말하지만 문자 그대로 액면 값으로 진술을 할 수 있을지 의심 스럽다. 관련 코드는 Linux 커널의 첫 번째 공개 릴리스 (1991 년 정도)에 도입되지 않았을 것이므로 버전 4.7 이전의 기준을 충족하지만 취약하지 않은 커널 버전이 논리적으로 존재해야합니다. 이것이 현재 데비안 릴리스에서 제공되는 커널에 적용되는지 확인하지 않았습니다.

이 버그에 취약한 지원되지 않는 데비안 릴리스를 실행 중이 거나 즉시 수정이 필요한 경우 수정 사항을 수동으로 백 포트하거나 최소한 커널 자체의 최신 릴리스로 업그레이드해야 할 수 있습니다.


3
현재 데비안에서 제공하는 커널은 보안 추적기 에서 볼 수 있듯이 취약합니다 . 원시 리눅스 커널은 3.6부터 취약하다. 분명히 Linux 3.2를 사용하는 wheezy조차도 기능 (및 버그)이 백 포트 되었기 때문에 취약합니다.
ysdx

이 커밋이 포함 된 Linux 3.2.37 의 변경 로그를 참조하십시오 .
ysdx
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.