আমি কীভাবে আমার সিস্টেমটিকে লিনাক্সের অফ-পাথ টিসিপি শোষণের বিরুদ্ধে রক্ষা করব?

Cve.mitre.org অনুসারে , ৪.7 এর আগে লিনাক্স কার্নেলটি "অফ-পাথ" টিসিপি শোষণের পক্ষে ঝুঁকিপূর্ণ

বিবরণ

লিনাক্স কার্নেলের নেট / ipv4 / tcp_input.c 4.7 এর আগে যথাযথভাবে চ্যালেঞ্জ ACK বিভাগগুলির হার নির্ধারণ করে না, যা মধ্য-মধ্য-আক্রমণকারীদের পক্ষে অন্ধ উইন্ডো আক্রমণে টিসিপি সেশনগুলি হাইজ্যাক করা সহজ করে তোলে।

এই দুর্বলতাটিকে বিপজ্জনক হিসাবে বিবেচনা করা হয় কারণ আক্রমণকারীকে আক্রমণ চালানোর জন্য কেবল একটি আইপি ঠিকানা প্রয়োজন।

লিনাক্স কার্নেলকে সর্বশেষ স্থিতিশীল সংস্করণে আপগ্রেড করা কি 4.7.1আমার সিস্টেম রক্ষার একমাত্র উপায় হয়ে উঠেছে?

এলডাব্লুএন অনুসারে এখানে একটি প্রশমন রয়েছে যা আপনার প্যাচড কার্নেল না থাকলে ব্যবহার করা যেতে পারে:

গিঁট আকারে একটি প্রশমন উপলব্ধ আছে tcp_challenge_ack_limit sysctl। বিশাল মূল্যবোধের (যেমন 999999999) কিছুতে এই মানটি সেট করা আক্রমণকারীদের ত্রুটিটি শোষণ করা আরও শক্ত করে তুলবে।

আপনার ফাইলটি তৈরি করে /etc/sysctl.dএটি প্রয়োগ করা উচিত sysctl -a। (প্রেস একটি টার্মিনাল খুলুন Ctrl+ + Alt+ + T), এবং চালানোর সময়:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

উপায় দ্বারা, আপনি সুরক্ষা ট্র্যাকারে ডেবিয়ানের উপর এই দুর্বলতার পরিস্থিতি ট্র্যাক করতে পারেন ।

আপনি এই প্রশ্নটিকে ডেবিয়ান ট্যাগ করেছেন , তাই আমি ধরে নেব যে আপনি লিনাক্স ভিত্তিক দেবিয়ান সিস্টেম চালাচ্ছেন।

প্রাসঙ্গিক প্যাচ যে এই বাগ সংশোধন করা হয়েছে ছোট এবং অপেক্ষাকৃত বিচ্ছিন্ন, এটা backporting জন্য একটি মৌলিক প্রার্থী করে।

ডাবিয়ান সাধারণত সফ্টওয়্যার সংস্করণগুলিতে সুরক্ষার সাথে সম্পর্কিত ফিক্সগুলির ব্যাকপোর্টিং সম্পর্কে যথেষ্ট ভাল যা তারা সমর্থিত বিতরণ রিলিজে শিপিং করছে। ২০১ 2016 সালের তাদের সুরক্ষা পরামর্শগুলির তালিকায় বর্তমানে লিনাক্স কার্নেল ( linuxএবং linux-2.6প্যাকেজগুলি) সম্পর্কিত আটটি সুরক্ষা পরামর্শ দেওয়া হয়েছে , সবচেয়ে সাম্প্রতিকতম DS জুলাই ডিএসএ -৩ 36১16 যা আপনার উল্লেখ করা বাগের প্যাচটি এক সপ্তাহ পরে উত্স কোড ট্রিতে প্রতিশ্রুতিবদ্ধ হয়েছিল, 11 জুলাই।

হুইজির জন্য সুরক্ষা সমর্থনটি 31 মে 2018 অবধি এলটিএস (দীর্ঘমেয়াদী সমর্থন) দলের সাথে রয়েছে এবং জেসি বর্তমানে মুক্তির গুণে সাধারণ সুরক্ষা আপডেটগুলি গ্রহণ করছে।

আমি এই বাগ দ্বারা ক্ষতিগ্রস্থ ডিবিয়ান রিলিজগুলির বিরুদ্ধে শীঘ্রই একটি সুরক্ষা প্যাচ আশা করব ।

এটিও সম্ভব যে ডিবিয়ান দ্বারা প্রেরিত কার্নেলগুলি ঝুঁকিপূর্ণ নয়। জন্য CVE করে "4.7 সামনে" বলে, কিন্তু আমি সন্দেহ যে বিবৃতি আক্ষরিক অভিহিত মূল্য এ গ্রহণ করা যেতে পারে; লিনাক্স কার্নেলের প্রথম পাবলিক রিলিজের ক্ষেত্রে প্রাসঙ্গিক কোডটি সম্ভবত চালু করা হয়নি (1991 বা তার মধ্যে) সুতরাং সেখানে যুক্তিযুক্তভাবে কার্নেল সংস্করণগুলি উপস্থিত থাকতে হবে যা সংস্করণ 4.7 এর চেয়ে পূর্বের মানদণ্ডগুলি পূরণ করে তবে এটি ঝুঁকিপূর্ণ নয়। বর্তমান দেবিয়ান রিলিজ দ্বারা প্রেরিত হওয়া কার্নেলগুলির ক্ষেত্রে এটি প্রযোজ্য কিনা তা আমি পরীক্ষা করে দেখিনি।

আপনি যদি একটি অসমর্থিত ডেবিয়ান রিলিজ চালিয়ে যা যা এই বাগের পক্ষে ঝুঁকির মধ্যে রয়েছে , বা যদি আপনার তাত্ক্ষণিক সমাধানের প্রয়োজন হয় তবে আপনাকে ফিক্সটি নিজেই ব্যাকপোর্ট করতে হবে বা কমপক্ষে কার্নেলের একটি সাম্প্রতিকতম রিলিজে আপগ্রেড করতে হতে পারে।