GNU/Linux >> Tutoriels Linux >  >> Linux

Comment puis-je protéger mon système contre l'exploit TCP hors chemin sous Linux ?

Selon LWN, il existe une atténuation qui peut être utilisée tant que vous n'avez pas de noyau corrigé :

il existe une atténuation disponible sous la forme du tcp_challenge_ack_limit sysctl bouton. Définir cette valeur sur quelque chose d'énorme (par exemple, 999999999 ) rendra beaucoup plus difficile pour les attaquants d'exploiter la faille.

Vous devez le définir en créant un fichier en /etc/sysctl.d puis l'implémenter avec sysctl -a . Ouvrez un terminal (appuyez sur Ctrl +Alt +T ), et lancez :

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Au fait, vous pouvez suivre l'état de cette vulnérabilité sur Debian dans le tracker de sécurité.


Vous avez marqué cette question debian, donc je suppose que vous utilisez un système Debian basé sur Linux.

Le correctif correspondant qui corrige ce bogue est petit et relativement isolé, ce qui en fait un candidat de choix pour le rétroportage.

Debian est généralement assez bon pour rétroporter les correctifs liés à la sécurité vers les versions logicielles qu'ils fournissent sur les versions de distribution prises en charge. Leur liste d'avis de sécurité pour 2016 répertorie actuellement huit avis de sécurité relatifs au noyau Linux (linux et linux-2.6 packages), le plus récent étant DSA-3616 le 4 juillet. Le correctif pour le bogue que vous mentionnez a été validé dans l'arborescence du code source une semaine plus tard, le 11 juillet.

Le support de sécurité pour Wheezy est avec l'équipe LTS (Long-Term Support) jusqu'au 31 mai 2018, et Jessie reçoit actuellement des mises à jour de sécurité normales en raison de la version actuelle.

Je m'attendrais à un correctif de sécurité bientôt contre les versions Debian prises en charge souffrant de ce bogue.

Il est également possible que les noyaux livrés par Debian ne soient pas vulnérables. Le CVE fait dire "avant 4.7", mais je doute que cette déclaration puisse être prise au pied de la lettre ; le code pertinent n'avait probablement pas été introduit dans la première version publique du noyau Linux (en 1991 environ), il doit donc logiquement exister des versions de noyau qui répondent aux critères d'être antérieures à la version 4.7 mais qui ne sont pas vulnérables. Je n'ai pas vérifié si cela s'applique aux noyaux fournis par les versions actuelles de Debian.

Si vous utilisez une version Debian non prise en charge qui est vulnérable à ce bogue, ou si vous avez besoin d'un correctif immédiat, vous devrez peut-être rétroporter le correctif manuellement ou mettre à niveau vers une version plus récente au moins du noyau lui-même.


Linux

  1. Comment vérifier la version du système d'exploitation et de Linux

  2. Comment pouvez-vous protéger votre ordinateur ?

  3. Sécurité Linux :protégez vos systèmes avec fail2ban

  4. Comment changer l'identité d'un système Linux

  5. Linux - À quelle fréquence le système de fichiers Proc est-il mis à jour sous Linux ?

Comment changer le shell par défaut dans le système Linux

Linux - Comment installer X11 sur le propre système Linux Buildroot ?

Comment utiliser la commande fd sur le système Linux

Comment configurer le cluster RabbitMQ sur Ubuntu/Debian Linux

Comment changer le nom d'hôte sur Debian Linux

Comment rétrograder des packages sur le système Linux :le guide ultime