~에 따르면cve.mitre.org, 4.7 이전의 Linux 커널은 다음과 같은 문제에 취약합니다."경로 밖의" TCP 취약점
설명하다
4.7 이전 Linux 커널의 net/ipv4/tcp_input.c는 챌린지 ACK 세그먼트의 비율을 올바르게 결정하지 못하므로 중간자 공격자가 블라인드 윈도우 공격을 통해 TCP 세션을 하이재킹하기가 더 쉽습니다.
공격자가 공격을 수행하려면 IP 주소만 필요하기 때문에 이 취약점은 위험한 것으로 간주됩니다.
업그레이드 여부리눅스 커널최신 안정 버전으로 전환하는 것이 4.7.1시스템을 보호하는 유일한 방법입니까?
답변1
~에 따르면저수온망커널을 패치하지 않은 경우 완화 방법을 사용할 수 있습니다.
손잡이 형태로 안정감이 있습니다
tcp_challenge_ack_limitsysctl. 이 값을 큰 값(예:999999999)으로 설정하면 공격자가 결함을 악용하기가 더 어려워집니다.
/etc/sysctl.d에서 파일을 만든 다음 를 사용하여 구현하여 설정해야 합니다 sysctl -a. 터미널을 열고( Ctrl+ Alt+ 누르기 T) 다음을 실행합니다.
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
그런데 데비안에서 이 취약점의 상태를 추적할 수 있습니다:보안 추적기.
답변2
이 질문에 태그를 지정했습니다.데비안, 따라서 Linux 기반 Debian 시스템을 실행하고 있다고 가정합니다.
이것관련 패치이 버그에 대한 수정 사항은 규모가 작고 상대적으로 고립되어 있으므로 백포팅의 주요 후보가 됩니다.
데비안은 일반적으로 지원되는 배포판에서 출시하는 소프트웨어 버전에 대한 보안 관련 수정 사항을 백포트하는 데 매우 능숙합니다. 그들의2016 보안 게시판 목록현재 Linux 커널( linux및 소프트웨어 패키지)과 관련된 8가지 linux-2.6보안 권장 사항이 나열되어 있으며, 그 중 최신 사항은 다음과 같습니다.DSA-36167월 4일. 언급하신 버그에 대한 패치는 일주일 뒤인 7월 11일 소스트리에 커밋되었습니다.
LTS(장기 지원) 팀은 Wheezy에 대한 보안 지원을 제공합니다.2018년 5월 31일 현재 Jessie는 현재 버전으로 일반 보안 업데이트를 받고 있습니다.
빨리 보안 패치가 나왔으면 좋겠네요이 버그의 영향을 받는 지원 Debian 버전은 더 이상 사용되지 않습니다.
데비안과 함께 제공되는 커널도 덜 취약할 수 있습니다.CVE하다"4.7 이전"이라고 되어 있지만 문제의 코드가 Linux 커널의 첫 번째 공개 버전(1991년경)에 도입되지 않았을 수 있으므로 논리적으로 4.7 A 표준 이전에 존재해야 합니다. 하지만 덜 취약한 커널 버전입니다. 이것이 현재 데비안 릴리스에서 제공하는 커널에서 작동하는지 확인하지 않았습니다.
지원되지 않고 취약한 Debian 버전을 실행 중인 경우이 버그의 경우 또는 즉각적인 수정이 필요한 경우 수정 사항을 수동으로 백포트하거나 최소한 커널 자체의 최신 버전으로 업그레이드해야 할 수 있습니다.