Comment protéger mon système contre l'exploit TCP hors chemin sous Linux?

Selon cve.mitre.org , le noyau Linux avant 4.7 est vulnérable aux exploits TCP «hors chemin»

La description

net / ipv4 / tcp_input.c dans le noyau Linux avant 4.7 ne détermine pas correctement le taux de segments ACK de défi, ce qui facilite le piratage des sessions TCP par des attaquants de type intermédiaire via une attaque aveugle dans la fenêtre.

Cette vulnérabilité est considérée comme dangereuse car l'attaquant n'a besoin que d'une adresse IP pour effectuer une attaque.

La mise à niveau du noyau Linux vers la dernière version stable 4.7.1, devient-elle le seul moyen de protéger mon système?

Selon LWN, il existe une atténuation qui peut être utilisée lorsque vous n'avez pas de noyau corrigé:

il y a une atténuation disponible sous la forme du tcp_challenge_ack_limit sysctlbouton. Définir cette valeur sur quelque chose d'énorme (par exemple 999999999) rendra beaucoup plus difficile pour les attaquants d'exploiter la faille.

Vous devez le définir en créant un fichier dans /etc/sysctl.dpuis en l'implémentant avec sysctl -a. Ouvrez un terminal (appuyez sur Ctrl+ Alt+ T) et exécutez:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Soit dit en passant, vous pouvez suivre l'état de cette vulnérabilité sur Debian dans le tracker de sécurité .

Vous avez marqué cette question Debian , donc je suppose que vous utilisez un système Debian basé sur Linux.

Le correctif qui corrige ce bogue est petit et relativement isolé, ce qui en fait un candidat de choix pour le rétroportage.

Debian est généralement assez bonne pour rétroporter les correctifs liés à la sécurité vers les versions logicielles qu'ils livrent sur les versions de distribution prises en charge. Leur liste d'avis de sécurité pour 2016 répertorie actuellement huit avis de sécurité relatifs au noyau Linux ( linuxet aux linux-2.6packages), le plus récent étant le DSA-3616 du 4 juillet. Le correctif du bogue que vous mentionnez a été envoyé à l'arborescence du code source une semaine plus tard, le 11 juillet.

Le support de sécurité pour Wheezy est avec l'équipe LTS (Long-Term Support) jusqu'au 31 mai 2018, et Jessie reçoit actuellement des mises à jour de sécurité normales en raison de la version actuelle.

Je m'attendrais à un correctif de sécurité bientôt contre les versions de Debian prises en charge souffrant de ce bogue.

Il est également possible que les noyaux fournis par Debian ne soient pas vulnérables. Le CVE ne dit « avant 4.7 », mais je doute que la déclaration peut être prise à leur valeur nominale littérale; le code pertinent n'avait probablement pas été introduit dans la première version publique du noyau Linux (en 1991 environ) donc il doit logiquement exister des versions de noyau qui répondent aux critères d'être antérieures à la version 4.7 mais qui ne sont pas vulnérables. Je n'ai pas vérifié si cela s'applique à ces noyaux fournis par les versions actuelles de Debian.

Si vous exécutez une version Debian non prise en charge qui est vulnérable à ce bogue, ou si vous avez besoin d'un correctif immédiat, vous devrez peut-être rétroporter le correctif manuellement ou mettre à niveau vers une version plus récente au moins du noyau lui-même.