Selon LWN, il existe une atténuation qui peut être utilisée tant que vous n'avez pas de noyau corrigé :
il existe une atténuation disponible sous la forme du
tcp_challenge_ack_limit
sysctl
bouton. Définir cette valeur sur quelque chose d'énorme (par exemple,999999999
) rendra beaucoup plus difficile pour les attaquants d'exploiter la faille.
Vous devez le définir en créant un fichier en /etc/sysctl.d
puis l'implémenter avec sysctl -a
. Ouvrez un terminal (appuyez sur Ctrl +Alt +T ), et lancez :
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
Au fait, vous pouvez suivre l'état de cette vulnérabilité sur Debian dans le tracker de sécurité.
Vous avez marqué cette question debian, donc je suppose que vous utilisez un système Debian basé sur Linux.
Le correctif correspondant qui corrige ce bogue est petit et relativement isolé, ce qui en fait un candidat de choix pour le rétroportage.
Debian est généralement assez bon pour rétroporter les correctifs liés à la sécurité vers les versions logicielles qu'ils fournissent sur les versions de distribution prises en charge. Leur liste d'avis de sécurité pour 2016 répertorie actuellement huit avis de sécurité relatifs au noyau Linux (linux
et linux-2.6
packages), le plus récent étant DSA-3616 le 4 juillet. Le correctif pour le bogue que vous mentionnez a été validé dans l'arborescence du code source une semaine plus tard, le 11 juillet.
Le support de sécurité pour Wheezy est avec l'équipe LTS (Long-Term Support) jusqu'au 31 mai 2018, et Jessie reçoit actuellement des mises à jour de sécurité normales en raison de la version actuelle.
Je m'attendrais à un correctif de sécurité bientôt contre les versions Debian prises en charge souffrant de ce bogue.
Il est également possible que les noyaux livrés par Debian ne soient pas vulnérables. Le CVE fait dire "avant 4.7", mais je doute que cette déclaration puisse être prise au pied de la lettre ; le code pertinent n'avait probablement pas été introduit dans la première version publique du noyau Linux (en 1991 environ), il doit donc logiquement exister des versions de noyau qui répondent aux critères d'être antérieures à la version 4.7 mais qui ne sont pas vulnérables. Je n'ai pas vérifié si cela s'applique aux noyaux fournis par les versions actuelles de Debian.
Si vous utilisez une version Debian non prise en charge qui est vulnérable à ce bogue, ou si vous avez besoin d'un correctif immédiat, vous devrez peut-être rétroporter le correctif manuellement ou mettre à niveau vers une version plus récente au moins du noyau lui-même.