আরএফসি 5961 লিনাক্স টিসিপি ত্রুটির জন্য কোনও সমাধান আছে?


28

আমি সম্প্রতি এই লিনাক্স টিসিপি ত্রুটি ( সিভিই -2016-5696 ) সম্পর্কে পড়েছি যা আক্রমণকারীকে লিনাক্স চলমান দুটি মেশিনের (যেমন একটি ওয়েবসভার এবং একটি ক্লায়েন্ট) মধ্যে সংযোগ ভাঙ্গতে বা হাইজ্যাক করতে দেয়। আমি বুঝতে পারি যে লিনাক্স কার্নেল সংস্করণ 3.6-এ আবার সমস্যাটি 2012 সালে ফিরে এসেছিল এবং এটি সমস্ত নতুন সংস্করণকেও প্রভাবিত করে।

বর্তমানে এটির একটি স্থিরতা প্রকাশিত হয়নি (এই লেখার সময় হিসাবে), তবে এটি বেশ বড় একটি বাগ হিসাবে কোনও কার্যকারিতা রয়েছে কি?


উবুন্টু কোন ফিক্স প্রকাশ করেনি? ত্রুটি জনসাধারণের প্রকাশের আগে অন্যান্য কয়েকটি বিতরণে একটি সমাধান প্রকাশ করা হয়েছিল।
মাইকেল হ্যাম্পটন

@ মিশেলহ্যাম্পটন: যতদূর আমি বুঝতে পারি একটি চিকিত্সা প্রসেসড চ্যানেলটিতে উপলব্ধ করা হয়েছে, তবে একটি স্থিতিশীল প্রকাশ এখনও হয়নি।

আমি মনে করি তারা 27 শে ফিক্সটি প্রকাশের পরিকল্পনা করছে।

@ মিশেলহ্যাম্পটন: আমি আমার উত্তরটি সম্পর্কিত তথ্য দিয়ে আপডেট করেছি updated

উত্তর:


29

দ্রষ্টব্য: ওয়ার্কারআউন্ড বিভাগটি historical তিহাসিক কারণে রাখা হয়েছে, তবে দয়া করে নীচের ফিক্স বিভাগে যান।

কার্যসংক্রান্ত:

এখানে যেমন বলা হয়েছে :

সুসংবাদ - এবং, হ্যাঁ, একটি সুসংবাদ রয়েছে - এটি ঠিক করা সহজ। প্রথমত, লিনাক্স নিজেই তার ট্র্যাকের আক্রমণ ভেক্টর বন্ধ করার জন্য প্যাচ করা হচ্ছে। এরপরে, আপনি কেবল 'চ্যালেঞ্জ ACK সীমা' অত্যন্ত চূড়ান্ত মান হিসাবে বাড়িয়ে তোলেন যাতে পার্শ্ব চ্যানেল সমস্যাটি আক্রমণটিকে কার্যক্ষম করতে সক্ষম করে তোলে এটি ব্যবহার করা অসম্ভব হয়ে পড়ে ।

যেহেতু এই ইস্যুটি ক্লায়েন্ট এবং সার্ভার উভয়কেই প্রভাবিত করে, বা সত্যিকার অর্থে যে কোনও দুটি লিনাক্স মেশিন নেটওয়ার্কে কথা বলছে, তাই উভয় ক্ষেত্রেই কাজটি কার্যকর করা এবং এটি প্রকাশের সাথে সাথেই ঠিক করা গুরুত্বপূর্ণ।

কাজের বাস্তবায়নের জন্য নিম্নলিখিতটি করুন:

  1. এর সাথে কনফিগারেশন ফাইলটি খুলুন: sudoedit /etc/sysctl.conf
  2. net.ipv4.tcp_challenge_ack_limit = 999999999ফাইলটিতে লাইন andোকান এবং এটি সংরক্ষণ করুন
  3. sudo sysctl -pকনফিগারেশন আপডেট করতে চালান

আপনি টার্মিনাল থেকে সরাসরি অপারেশন করতে পারেন:

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

বা:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

তারপরে চালান:

sudo sysctl -p

ফিক্স:

এখানে যেমন বলা হয়েছে :

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

এবং এখনই একটি স্থিরতা প্রকাশ করা হয়েছে:

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200

চালান:

sudo apt-get update
sudo apt-get dist-upgrade

আপনার সর্বশেষতম সংস্করণ রয়েছে তা নিশ্চিত করতে। বা আপনি যদি জিইউআইয়ের মাধ্যমে আপডেট করতে পছন্দ করেন তবে সফ্টওয়্যার আপডেটার ব্যবহার করুন।

আপনি কোন সংস্করণটি চালাচ্ছেন এবং কোনটি উপলভ্য তা পরীক্ষা করতে পারবেন:

apt-cache policy linux-image-generic

দ্রুত (তবে echo 999999999 > /proc/sys/net/ipv4/tcp_challenge_ack_limit
অবিচল
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.