Sårbarhet i TCP-implementasjon i Linux-kjernen

Publisert: 15.08.2016 | Sist endret: 11.01.2017

Alvorlig Linux-sårbarhet gjør det enkelt å ta kontroll over internettrafikk

Det er oppdaget en ny sårbarhet i Linux-kjernen fra versjon 3.6 (sluppet i slutten av 2012) til versjon 4.6 (sluppet i 2016).

Sårbarheten åpner for at en angriper på siden av TCP-koblingen kan terminere forbindelsen (DoS), eller injisere data i forbindelsen, både mot tjener og klient [1].

Angripet er muliggjort blant annet av det lave antallet ACK-challenges i implementasjonen av RFC 5961 [2][3]. Dette gjør det enkelt å gjennomføre et råkraftangrep (bruteforce attack) for å finne all forbindelsesinformasjon for koblingen (TCP 4-tuplen).

Sårbare produkter

  • Samtlige Linux-distribusjoner som tar i bruk kernel-versjonene 3.6 til og med 4.6.

NorCERT anbefaler

NorCERT anbefaler å oppdatere til oppdatert Linux-kernel når dette er tilgjengelig for deres distribusjon. En midlertidig løsning kan være å endre systemets TCP-challenge-ack-limit. Se [3] og [4] for mer informasjon om dette.

NorCERT har ikke observert utnyttelser av denne sårbarheten.

CVE-referanse:

  • CVE-2016-5696

Referanser:

  1. https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_cao.pdf
    (OBS: PDF-fil)
  2. https://tools.ietf.org/html/rfc5961
  3. https://ucrtoday.ucr.edu/39030
  4. https://blogs.akamai.com/2016/08/vulnerability-in-the-linux-kernels-tcp-stack-implementation.html