क्या RFC 5961 लिनक्स टीसीपी दोष के लिए एक समाधान है?


28

मैंने हाल ही में इस लिनक्स टीसीपी दोष ( CVE-2016-5696 ) के बारे में पढ़ा है जो एक हमलावर को लिनक्स चलाने वाली दो मशीनों (उदाहरण के लिए एक वेबसर्वर और एक ग्राहक) के बीच एक कनेक्शन को तोड़ने या अपहरण करने की अनुमति देता है। मैं समझता हूं कि 2012 में लिनक्स कर्नेल संस्करण 3.6 में समस्या को वापस लाया गया था और सभी नए संस्करणों को भी प्रभावित करता है।

वर्तमान में इसके लिए एक फिक्स जारी नहीं किया गया है (इस लेखन के समय के रूप में), लेकिन क्या कोई वर्कअराउंड हैं क्योंकि यह काफी महत्वपूर्ण बग है?


उबंटू ने फिक्स जारी नहीं किया है? दोष को सार्वजनिक करने से पहले कुछ अन्य वितरणों में एक सुधार प्रकाशित किया गया था।
माइकल हैम्पटन

@ मिचेल हैम्पटन: जहां तक ​​मैं समझता हूं कि एक तय चैनल में उपलब्ध कराया गया है, हालांकि एक स्थिर रिलीज अभी तक नहीं हुई है।

मुझे लगता है कि वे 27 तारीख को फिक्स रिलीज करने की योजना बना रहे हैं।

@ मिचेल हैम्पटन: मैंने प्रासंगिक जानकारी के साथ अपना जवाब अपडेट कर दिया है।

जवाबों:


29

नोट: वर्कअराउंड सेक्शन को ऐतिहासिक कारणों से रखा गया है, लेकिन कृपया नीचे दिए गए फिक्स सेक्शन पर जाएं।

युक्ति:

जैसा कि यहाँ कहा गया है :

अच्छी खबर - और, हां, अच्छी खबर है - क्या इसे ठीक करना आसान है। सबसे पहले, लिनक्स को अपने ट्रैक में हमले के वेक्टर को रोकने के लिए पैच किया जा रहा है। इसके बाद, आप केवल साइड चैनल समस्या का फायदा उठाने के लिए व्यावहारिक रूप से असंभव बनाने के लिए 'चैलेंज एसीके सीमा' को चुनौती देते हैं जो हमले को काम करने में सक्षम बनाता है।

चूंकि यह समस्या क्लाइंट और सर्वर दोनों को प्रभावित करती है, या वास्तव में नेटवर्क पर बात करने वाली कोई भी दो लिनक्स मशीनें, दोनों में वर्कअराउंड को लागू करना महत्वपूर्ण है, और जैसे ही यह जारी होता है, ठीक करना।

वर्कअराउंड को कार्यान्वित करने के लिए निम्नलिखित कार्य करें:

  1. इसके साथ कॉन्फ़िगरेशन फ़ाइल खोलें: sudoedit /etc/sysctl.conf
  2. net.ipv4.tcp_challenge_ack_limit = 999999999फ़ाइल में लाइन डालें और इसे सहेजें
  3. sudo sysctl -pकॉन्फ़िगरेशन को अद्यतन करने के लिए चलाएँ

आप टर्मिनल से सीधे ऑपरेशन भी कर सकते हैं:

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

या:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

तो भागो:

sudo sysctl -p

ठीक कर:

जैसा कि यहाँ कहा गया है :

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

और अब एक फिक्स जारी किया गया है:

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200

चलाएँ:

sudo apt-get update
sudo apt-get dist-upgrade

यह सुनिश्चित करने के लिए कि आपके पास नवीनतम संस्करण है। या यदि आप GUI के माध्यम से अपडेट करना पसंद करेंगे तो सॉफ़्टवेयर अपडेटर का उपयोग करें।

आप देख सकते हैं कि आप कौन सा संस्करण चला रहे हैं और कौन सा उपलब्ध है:

apt-cache policy linux-image-generic

तेज (लेकिन लगातार नहीं) फिक्स:echo 999999999 > /proc/sys/net/ipv4/tcp_challenge_ack_limit
बेन वायगेट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.