Laut LWN gibt es eine Mitigation, die verwendet werden kann, wenn Sie keinen gepatchten Kernel haben:
Es gibt eine Abmilderung in Form von tcp_challenge_ack_limit sysctl Knopf. Setzen Sie diesen Wert auf etwas Enormes (z. B. 999999999 ) wird es Angreifern viel schwerer machen, den Fehler auszunutzen.
Sie sollten es festlegen, indem Sie eine Datei in /etc/sysctl.d erstellen und dann mit sysctl -a implementieren . Öffnen Sie ein Terminal (drücken Sie Strg +Alt +T ) und führen Sie Folgendes aus:
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
Übrigens können Sie den Status dieser Schwachstelle auf Debian im Sicherheitstracker verfolgen.
Sie haben diese Frage mit debian markiert, also gehe ich davon aus, dass Sie ein Linux-basiertes Debian-System verwenden.
Der relevante Patch, der diesen Fehler behebt, ist klein und relativ isoliert, was ihn zu einem erstklassigen Kandidaten für die Rückportierung macht.
Debian ist normalerweise ziemlich gut darin, sicherheitsrelevante Korrekturen auf die Softwareversionen zurückzuportieren, die sie auf unterstützten Distributionsversionen ausliefern. Ihre Liste der Sicherheitshinweise für 2016 enthält derzeit acht Sicherheitshinweise zum Linux-Kernel (linux und linux-2.6 Pakete), das letzte war DSA-3616 am 4. Juli. Der Patch für den von Ihnen erwähnten Fehler wurde eine Woche später, am 11. Juli, in den Quellcodebaum übernommen.
Der Sicherheitssupport für Wheezy erfolgt bis zum 31. Mai 2018 durch das LTS-Team (Long-Term Support) und Jessie erhält derzeit normale Sicherheitsupdates, da es sich um die aktuelle Version handelt.
Ich würde bald mit einem Sicherheitspatch rechnen gegen unterstützte Debian-Veröffentlichungen, die unter diesem Fehler leiden.
Es ist auch möglich, dass die von Debian ausgelieferten Kernel nicht angreifbar sind. Das CVE macht es Sagen Sie "vor 4.7", aber ich bezweifle, dass diese Aussage wörtlich genommen werden kann; der relevante Code war wahrscheinlich nicht in der ersten öffentlichen Version des Linux-Kernels (1991 oder so) eingeführt worden, also muss es logischerweise Kernel-Versionen geben, die die Kriterien erfüllen, älter als Version 4.7 zu sein, aber nicht anfällig sind. Ich habe nicht überprüft, ob dies für die Kernel gilt, die von aktuellen Debian-Veröffentlichungen ausgeliefert werden.
Wenn Sie eine nicht unterstützte Debian-Version ausführen, die anfällig ist um diesen Fehler zu beheben, oder wenn Sie eine sofortige Korrektur benötigen, müssen Sie die Korrektur möglicherweise manuell zurückportieren oder zumindest den Kernel selbst auf eine neuere Version aktualisieren.