[安全预警]Linux服务器的TCP连接实施方案存在高危安全漏洞

您好!近日,腾讯云安全发现Linux服务器的TCP连接实施方案存在高危安全漏洞(漏洞编号:CVE-2016-5696),攻击者可利用该漏洞来劫持未加密Web流量,或对SSH之类的加密服务进行重置,详细如下;

 

【漏洞详情】Linux内核版本在v3.6至v4.7之间的系统由于引入了RFC 5961标准,且该标准存在一些弱点(ACK Throttling机制),利用该弱点,可以确认互联网上的任意两台主机是否通过TCP连接进行通讯,以及推测出TCP报文头的序列号(**ence number),这样一来就能强制终止双方的连接,从而使黑客可以在连接中插入恶意代码而达到攻击的目的。

 

【攻击条件】:该攻击需要攻击者监听到链路上的包,同时需要猜测in-window的TCP序列号,攻击只能攻击长连接(大于10秒的连接),短连接因为生命周期很短还没有完成劫持而中断,满足以上条件才能实施重置或恶意代码注入。

 

【漏洞风险】:劫持未加密网络流量,针对SSH之类的加密服务进行重置。

 

【影响版本】
? ?该漏洞主要影响内核版本在3.6至4.7之间Linux系统。
? ?已知受影响的操作系统
? ?CentOS 6.x、7.x系列
? ?CoreOS 717.3.0版本
? ?Debian7.x 8.x系列
? ?OpenSUSE12.3、13.2
? ?SUSE Linux Enterprise 11 SP3、12
? ?Ubuntu 12.04 (LTS)、14.04 (LTS)

 

? ?不受影响的操作系统
? ?CentOS5.x各个小版本
? ?SUSE Linux Enterprise 10
? ?Debian 6.0.3
? ?Ubuntu Server 10.04 LTS
? ?FreeBSD 10.1
? ?Windows Server全系列

 

【 修复建议】:建议您检查自身系统内核版本是否在受影响范围(检查方法:在终端运行uname -sr),若在受影响范围,则按照下述方案进行加固操作,若不在影响范围,请忽略。
? ?方案1(推荐):关注最新官方内核版本安全更新并及时升级,由于目前各厂商的最新内核版本修复更新尚未发布,在厂商发布更新后,您可以通过下载官方最新修复版本内核进行快速升级修复。
? ?方案2:按照如下操作对系统进行加固:
? ?? ? 1)修改内核文件参数,在/etc/sysctl.conf中追加如下内容:net.ipv4.tcp_challenge_ack_limit= 999999999
? ?? ? 2)然后运行sysctl –p使之生效。
from:http://bbs.qcloud.com/thread-21260-1-1.html
此条目发表在安全分类目录。将固定链接加入收藏夹。

发表评论

电子邮件地址不会被公开。 必填项已用*标注