Nota: La sección Solución alternativa se ha mantenido por razones históricas, sin embargo, pase a la sección Solución a continuación.
Solución alternativa:
Como se indica aquí :
La buena noticia, y sí, hay buenas noticias, es que es fácil de solucionar. Primero, Linux mismo está siendo parcheado para detener el vector de ataque en su camino. A continuación, simplemente aumenta el 'límite de ACK de desafío' a un valor extremadamente grande para que sea prácticamente imposible explotar el
problema del canal lateral que permitió que el ataque funcionara.
Como este problema afecta tanto al cliente como al servidor, o de hecho dos máquinas Linux que hablan por la red, es importante implementar la solución en ambos y la solución tan pronto como se lance.
Para implementar la solución alternativa, haga lo siguiente:
- Abra el archivo de configuración con:
sudoedit /etc/sysctl.conf
- Inserte la línea
net.ipv4.tcp_challenge_ack_limit = 999999999
en el archivo y guárdelo
- Ejecutar
sudo sysctl -p
para actualizar la configuración
También puede hacer la operación directamente desde la Terminal:
sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'
O:
echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf
Entonces corre:
sudo sysctl -p
Fijar:
Como se indica aquí :
net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,
with a likely release date of Aug 27. Earlier access to the kernels
with the fix will be available from the -proposed pocket, though they
come with the risk of being less tested.
Y ahora se ha lanzado una solución:
linux (4.4.0-36.55) xenial; urgency=low
[ Stefan Bader ]
* Release Tracking Bug
- LP: #1612305
* I2C touchpad does not work on AMD platform (LP: #1612006)
- SAUCE: pinctrl/amd: Remove the default de-bounce time
* CVE-2016-5696
- tcp: make challenge acks less predictable
-- Stefan Bader <stefan.bader@canonical.com> Thu, 11 Aug 2016 17:34:14 +0200
Correr:
sudo apt-get update
sudo apt-get dist-upgrade
Para asegurarte de tener la última versión. O utilice el Actualizador de software si prefiere actualizar a través de la GUI.
Puede verificar qué versión está ejecutando y cuál está disponible con:
apt-cache policy linux-image-generic