Mitigar CVE-2016-5696 vulnerabilidad de conexiones TCP en GNU/Linux

Para explotar esta vulnerabilidad un atacante debe conocer la IP fuente y la IP destino esto, aunque se oye sencillo le pone algo de complejidad al asunto, muchos servidores usan más de una sola IP para conexiones WEB o para para cualquier tipo de conexión ya sea SMTP y otros, sin embargo, el problema está ahí.

Comando para mitigar

echo "999999999" > /proc/sys/net/ipv4/tcp_challenge_ack_limit

Algunos equipos traen por default 100, 100 contra 999999999 ya es una gran diferencia. Este valor y configuración no es invasiva a la configuración standart del servidor, solo será válido hasta que el equipo se reinicie, si lo reinicias volverá a su estado anterior y si lo haces antes de que tengas aplicado un parche definitivo tendrás que ejecutar el comando de nueva cuenta.

A continuación, un vídeo relacionado al tema.

3 Comments

Add a Comment

Comment spam protected by SpamBam