綾小路龍之介の素人思考

[Debian] CVE-2016-5696 への対処

Linux カーネルにある脆弱性が元でサイドチャネル攻撃を受ける (通信がハイジャックされる) 可能性がある。。

この脆弱性に対処するために net.ipv4.tcp_challenge_ack_limit の値を増やす。まずは現在の値を確認。

# sysctl net.ipv4.tcp_challenge_ack_limit
net.ipv4.tcp_challenge_ack_limit = 100

以下のファイルを作る。ここではシーケンス番号を推測しづらくするために net.ipv4.tcp_challenge_ack_limit を大きな値 (2^30 - 1) にしている。

# cat /etc/sysctl.d/99-CVE-2016-5696.conf
# https://security-tracker.debian.org/tracker/CVE-2016-5696
# https://ucrtoday.ucr.edu/39030
# https://blogs.akamai.com/2016/08/vulnerability-in-the-linux-kernels-tcp-stack-implementation.html
net.ipv4.tcp_challenge_ack_limit = 1073741823

# sysctl net.ipv4.tcp_challenge_ack_limit
# sysctl --system
# sysctl net.ipv4.tcp_challenge_ack_limit

変更内容を反映させる。

# sysctl --system
* Applying /etc/sysctl.d/99-CVE-2016-5696.conf ...
net.ipv4.tcp_challenge_ack_limit = 1073741823
* Applying /etc/sysctl.d/99-sysctl.conf ...
* Applying /etc/sysctl.conf ...

変更内容が反映されたことを確認する。

# sysctl net.ipv4.tcp_challenge_ack_limit
net.ipv4.tcp_challenge_ack_limit = 1073741823

リファレンス

  1. CVE-2016-5696
  2. UCR Today: Study Highlights Serious Security Threat to Many Internet Users
  3. Vulnerability in the Linux kernel's tcp stack implementation - The Akamai Blog

ソーシャルブックマーク

  1. はてなブックマーク
  2. Google Bookmarks
  3. del.icio.us

ChangeLog

  1. Posted: 2007-11-23T01:13:26+09:00
  2. Modified: 2007-11-23T01:13:26+09:00
  3. Generated: 2018-10-04T23:10:17+09:00