Beantwortet: TCP - Linux

Solution
Moin, wir fahren fast überall einen 3.10 Kernel,
haben aber entsprechend die mitigation aktiviert und das ack_limit hochgesetzt.

Grüße
Lars
Hat er wohl versehentlich in klammern geschrieben. Der Link sollte klappen :p

http://www.heise.de/security/meldun...pern-HTTP-Verbindungen-von-Linux-3292257.html

Interessant, wobei eigentlich auch nicht. Bestätigt meine persönliche Meinung zu Linux, was von Haus vermutlich vielmehr und üblere Sicherheitslücken hat als Windows, die nur wegen Desinteresse der Masse und Nichtnutzung nicht bekannt sind. Und jede Wette, die NSA kennt sie sowieso alle :D
 
Wenn ich mich recht erinnere, dann haben wir noch gar keinen Kernel 3.6. Muss ich Montag mal nachfragen, wenn die Kollegen wieder da sind

Nachtrag: Stimmt glaub ich gar nicht. Für IPv6 nutzen wir NAT und soweit ich mich erinnere geht das erst seit 3.9. Aber wie gesagt: Muss ich Montag erfragen
 
@Nytro87 erst mal danke das du den Link verbessert hast :)
Und kein Betriebssystem ist komplett sicher, auch Linux ist noch weit davon entfernt genauso aber auch Windows und OSX. Durchaus könnte man sich darüber streiten welches System denn sicherer ist, aber da würde man sich gegenseitig nur Schlagzeile über Schlagzeile senden weil jedes System mal eine Lücke aufweist. Und das ist keine direkte Lücke im Linux Kernel sondern kommt von der vollständigen Implementierung von RFC 5961. Kurz gesagt: Jedes System hat Sicherheitslücken und seine eigenen Vor- und Nachteile.

@PP Frank
Danke für die Antwort :) wäre natürlich von Vorteil wenn nicht der 3.6[-4.6] Kernel läuft sondern ein älterer. Ansonsten wissen die Kollegen ja glaube ich was sie machen müssen, im 4.7 Kernel wurde es ja gefixt ansonsten müsste man irgendein Skript schreiben. Im Heise Artikel wird zwar geschrieben, dass man net.ipv4.tcp_challenge_ack_limit = 999999999 setzen soll, wenn man jedoch die Kommentare durchliest sollte man es immer wieder zufällig setzen. Denn so wurde es auch im 4.7 Kernel gemacht damit die Lücke geschlossen wird: https://git.kernel.org/cgit/linux/k.../?id=75ff39ccc1bd5d3c455b6822ab09e533c551f758 -> Also net.ipv4.tcp_challenge_ack_limit auf mindestens 1000setzen und dann noch Zufälle einbauen [siehe Git commit].

MfG
 
Moin, wir fahren fast überall einen 3.10 Kernel,
haben aber entsprechend die mitigation aktiviert und das ack_limit hochgesetzt.

Grüße
Lars
 
Solution
Ist ohnehin ein obskurer bug, der schwer auszunutzen ist. Lustig fand ich die Heise Überschrift "Sicherheitslücke im Linux-Kernel". Dabei ist die vorgeschlagene Methode im RFC der eigentliche Bug - die haben das nicht ganz zu Ende gedacht.
Die Kernel-Entwickler haben wohl kaum eine Chance das zu entdecken. Man würde meinen, daß denen sowas vielleicht auffallen könnte, aber der Bug ist eben obskur und der RFC vorher monatelang von "Experten aller Couleur" ausklamüsert worden.
Apple und Microsoft sind bei dem RFC noch etwas hinterher und haben das noch nicht implementiert. Was es nicht gibt kann auch keine Bugs haben...
 
Back
Top