Como protejo meu sistema contra a exploração TCP fora do caminho no Linux?

9

De acordo com cve.mitre.org , o kernel Linux anterior à 4.7 é vulnerável a explorações TCP "fora do caminho"

Descrição

O net / ipv4 / tcp_input.c no kernel do Linux anterior ao 4.7 não determina adequadamente a taxa de desafio dos segmentos ACK, o que facilita aos invasores do centro o seqüestro de sessões TCP através de um ataque cego na janela.

Essa vulnerabilidade é considerada perigosa porque o invasor precisa apenas de um endereço IP para realizar um ataque.

A atualização do kernel do Linux para a versão estável mais recente 4.7.1torna-se a única maneira de proteger meu sistema?

GAD3R
fonte

Respostas:

10

De acordo com o LWN, há uma mitigação que pode ser usada enquanto você não possui um kernel corrigido:

existe uma mitigação disponível na forma do tcp_challenge_ack_limit sysctlbotão. Definir esse valor para algo enorme (por exemplo 999999999) tornará muito mais difícil para os invasores explorar a falha.

Você deve configurá-lo criando um arquivo /etc/sysctl.de implementando-o com sysctl -a. Abra um terminal (pressione Ctrl+ Alt+ T) e execute:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

A propósito, você pode rastrear o estado dessa vulnerabilidade no Debian no rastreador de segurança .

ysdx
fonte
6

Você marcou esta questão como , portanto, assumirei que você está executando um sistema Debian baseado em Linux.

O patch relevante que corrige esse bug é pequeno e relativamente isolado, tornando-o o principal candidato para o backport.

O Debian geralmente é muito bom em portar correções relacionadas à segurança para as versões de software que estão sendo fornecidas nas versões de distribuição suportadas. Sua lista de avisos de segurança para 2016 atualmente lista oito avisos de segurança relacionados ao kernel ( linuxe linux-2.6pacotes) do Linux , o mais recente sendo o DSA-3616 em 4 de julho. O patch do bug mencionado foi confirmado na árvore de código-fonte uma semana depois, em 11 de julho.

O suporte de segurança para o Wheezy está com a equipe do LTS (Suporte a Longo Prazo) até 31 de maio de 2018, e Jessie está atualmente recebendo atualizações de segurança normais por ser a versão atual.

Eu esperaria um patch de segurança em breve contra as versões suportadas do Debian que sofrem desse bug.

Também é possível que os kernels enviados pelo Debian não sejam vulneráveis. A CVE faz dizer "antes de 4.7", mas duvido que a declaração pode ser tomada pelo valor de face literal; o código relevante provavelmente não foi introduzido na primeira versão pública do kernel Linux (em 1991), portanto, deve haver logicamente versões do kernel que atendam aos critérios de ser anterior à versão 4.7, mas que não são vulneráveis. Eu não verifiquei se isso se aplica aos kernels que estão sendo enviados pelas versões atuais do Debian.

Se você estiver executando uma versão do Debian não suportada, vulnerável a esse bug, ou se precisar de uma correção imediata, poderá ser necessário fazer o backport manualmente da correção ou atualizar para uma versão mais recente, pelo menos do próprio kernel.

um CVn
fonte
3
O kernel atualmente enviado pelo Debian é vulnerável, como pode ser visto em seu rastreador de segurança . O novo núcleo do Linux é vulnerável desde 3.6. Aparentemente, até o chiado no Linux 3.2 é vulnerável porque o recurso (e o bug) foi suportado.
usar o seguinte comando
Veja o changelog para Linux 3.2.37 que inclui este commit.
ysdx