~によるとcve.mitre.org, 4.7 より前の Linux カーネルは、次の問題に対して脆弱です。「パス外」TCPの脆弱性
説明する
4.7 以前の Linux カーネルの net/ipv4/tcp_input.c は、チャレンジ ACK セグメントの割合を正しく決定できないため、中間者攻撃者がブラインドウィンドウ攻撃を介して TCP セッションをハイジャックすることが容易になります。
攻撃者が攻撃を実行するにはIPアドレスしか必要ないため、この脆弱性は危険と見なされます。
アップグレードするかどうかLinuxカーネル最新の安定版に切り替えることが4.7.1
システムを保護する唯一の方法ですか?
ベストアンサー1
~によると貯水温網カーネルにパッチを当てていない場合は、緩和方法を使用できます。
取っ手の形で安定感があります
tcp_challenge_ack_limit
sysctl
。この値を大きな値(例999999999
:)に設定すると、攻撃者が欠陥を悪用するのが難しくなります。
/etc/sysctl.d
でファイルを作成し、それを使用して実装して設定する必要がありますsysctl -a
。ターミナルを開き(++Ctrl押すAlt)、T次の操作を行います。
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
ところで、Debian ではこの脆弱性の状態を追跡できます。セキュリティトラッカー。