मैं लिनक्स में ऑफ-पाथ टीसीपी शोषण के खिलाफ अपने सिस्टम की रक्षा कैसे करूं?

Cve.mitre.org के अनुसार , 4.7 से पहले लिनक्स कर्नेल "ऑफ-पाथ" टीसीपी कारनामों के लिए असुरक्षित है

विवरण

नेट / ipv4 / tcp_input.c लिनक्स कर्नेल में 4.7 से पहले चुनौती एसीके सेगमेंट की दर को ठीक से निर्धारित नहीं करता है, जो एक अंधा-खिड़की हमले के माध्यम से टीसीपी सत्रों को हाईजैक करने के लिए मध्य-हमलावरों के लिए आसान बनाता है।

क्योंकि हमलावर सिर्फ एक हमले प्रदर्शन करने के लिए एक आईपी पता की जरूरत है इस कमजोरी का फायदा खतरनाक माना जाता है।

क्या लिनक्स कर्नेल को नवीनतम स्थिर संस्करण में अपग्रेड 4.7.1करना, मेरे सिस्टम की सुरक्षा करने का एकमात्र तरीका है?

LWN के अनुसार एक शमन है जिसका उपयोग तब किया जा सकता है जब आपके पास एक पैच कर्नेल न हो:

शिरोबिंदु के रूप में एक शमन उपलब्ध है tcp_challenge_ack_limit sysctl। उस मूल्य को कुछ भारी (जैसे 999999999) पर सेट करना हमलावरों के दोष का शोषण करने के लिए बहुत कठिन बना देगा।

आपको इसे एक फ़ाइल बनाकर सेट करना चाहिए /etc/sysctl.dऔर फिर इसे लागू करना चाहिए sysctl -a। (प्रेस टर्मिनल खोलें Ctrl+ Alt+ T), और रन:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

वैसे, आप सुरक्षा ट्रैकर में डेबियन पर इस भेद्यता की स्थिति को ट्रैक कर सकते हैं ।

आपने इस प्रश्न को टैग कर दिया है डेबियन, इसलिए मैं मान लूंगा कि आप लिनक्स आधारित डेबियन सिस्टम चला रहे हैं।

इस बग को ठीक करने वाला प्रासंगिक पैच छोटा और अपेक्षाकृत अलग-थलग है, जिससे यह बैकपोर्ट के लिए एक प्रमुख उम्मीदवार बन जाता है।

डेबियन आमतौर पर सॉफ़्टवेयर संस्करणों के लिए सुरक्षा से संबंधित सुधारों के बारे में बहुत अच्छा है कि वे समर्थित वितरण रिलीज़ पर शिपिंग कर रहे हैं। 2016 के लिए उनकी सुरक्षा सलाह सूची में वर्तमान में लिनक्स कर्नेल ( linuxऔर linux-2.6पैकेज) से संबंधित आठ सुरक्षा सलाह सूचीबद्ध हैं , सबसे हाल ही में डीएसए -3616 जुलाई 4 पर। आपके द्वारा उल्लेखित बग के लिए पैच एक सप्ताह बाद स्रोत कोड ट्री के लिए प्रतिबद्ध था। 11 जुलाई को।

व्हीजे के लिए सुरक्षा समर्थन एलटीएस (दीर्घकालिक समर्थन) टीम के साथ 31 मई 2018 तक है, और जेसी वर्तमान में रिलीज होने के कारण वर्तमान में सामान्य सुरक्षा अपडेट प्राप्त कर रहे हैं।

मुझे उम्मीद है कि इस बग से पीड़ित डेबियन रिलीज़ के समर्थन में जल्द ही एक सुरक्षा पैच होगा ।

यह भी संभव है कि डेबियन द्वारा भेजी गई गुठली कमजोर न हो। CVE करता है "4.7 से पहले" कहते हैं, लेकिन मुझे शक है कि बयान शाब्दिक अंकित मूल्य पर लिया जा सकता है; प्रासंगिक कोड शायद लिनक्स कर्नेल की पहली सार्वजनिक रिलीज (1991 में या तो) में पेश नहीं किया गया था, इसलिए तार्किक रूप से कर्नेल संस्करण मौजूद होने चाहिए जो कि संस्करण 4.7 से पहले होने के मानदंडों को पूरा करते हैं लेकिन जो कमजोर नहीं हैं। मैंने यह देखने के लिए जाँच नहीं की है कि क्या यह उन गुठली पर लागू होता है जिन्हें वर्तमान डेबियन रिलीज़ द्वारा शिप किया जा रहा है।

यदि आप एक असमर्थित डेबियन रिलीज़ चला रहे हैं, जो इस बग के लिए असुरक्षित है, या यदि आपको तत्काल फ़िक्स की आवश्यकता है, तो आपको मैन्युअल रूप से फ़िक्स को बैकपोर्ट करना होगा या कम से कम कर्नेल में ही अधिक हालिया रिलीज़ में अपग्रेड करना होगा।