根据cve.mitre.org的说法,4.7之前的Linux内核容易受到“非路径” TCP漏洞的攻击
描述
4.7之前的Linux内核中的net / ipv4 / tcp_input.c不能正确确定质询ACK段的速率,这使得中间人攻击者更容易通过盲目窗口内攻击来劫持TCP会话。
该漏洞被认为是危险的,因为攻击者仅需要IP地址即可执行攻击。
将Linux内核升级到最新的稳定版本是否4.7.1成为保护我的系统的唯一方法?
根据LWN,有一个缓解措施可以在没有补丁内核的情况下使用:
tcp_challenge_ack_limitsysctl旋钮形式有缓解措施。将值设置为巨大的值(例如999999999)会使攻击者更加难以利用该漏洞。
您应该通过在中创建文件/etc/sysctl.d,然后使用实现该文件来进行设置sysctl -a。打开一个终端(按Ctrl+ Alt+ T),然后运行:
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句