LWN によると、カーネルにパッチが適用されていない場合に使用できる緩和策があります:
<ブロック引用>
tcp_challenge_ack_limit の形式で利用できる軽減策があります。 sysctl つまみ。その値を巨大なものに設定します (例:999999999 ) は、攻撃者がこの欠陥を悪用することをはるかに困難にします。
/etc/sysctl.d でファイルを作成して設定する必要があります そして sysctl -a で実装します .ターミナルを開きます (Ctrl を押します) +Alt +T )、実行:
sudo -i
echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf
sysctl -a
exit
ちなみに、Debian でのこの脆弱性の状態は、セキュリティ トラッカーで追跡できます。
この質問に debian のタグを付けたので、Linux ベースの Debian システムを実行していると仮定します。
このバグを修正する関連パッチは小さく、比較的分離されているため、バックポートの最有力候補となっています。
Debian は通常、セキュリティ関連の修正を、サポートされているディストリビューション リリースで出荷しているソフトウェア バージョンにバックポートすることについて非常に優れています。 2016 年のセキュリティ アドバイザリ リストには、現在、Linux カーネル (linux) に関連する 8 つのセキュリティ アドバイザリがリストされています。 そして linux-2.6 パッケージ)、最新のものは 7 月 4 日の DSA-3616 です。あなたが言及したバグのパッチは、1 週間後の 7 月 11 日にソース コード ツリーにコミットされました。
Wheezy のセキュリティ サポートは、2018 年 5 月 31 日まで LTS (Long-Term Support) チームによって提供されます。Jessie は現在、最新のリリースであるため、通常のセキュリティ アップデートを受け取っています。
セキュリティ パッチがすぐに適用されることを期待しています このバグに苦しんでいるサポートされている Debian リリースに対して。
Debian から出荷されたカーネルに脆弱性がない可能性もあります。 CVE する 「4.7より前」と言いますが、その発言を文字通りの額面通りに受け取ることができるとは思えません。関連するコードは、Linux カーネルの最初の公開リリース (1991 年かそこら) ではおそらく導入されていないため、バージョン 4.7 より前であるという基準を満たすが脆弱ではないカーネル バージョンが論理的に存在する必要があります。現在の Debian リリースで出荷されているカーネルにこれが当てはまるかどうかは確認していません.
脆弱なサポート対象外の Debian リリースを実行している場合 このバグに、またはすぐに修正が必要な場合は、修正を手動でバックポートするか、少なくともカーネル自体を最新のリリースにアップグレードする必要があります。