この脆弱性に対処するために net.ipv4.tcp_challenge_ack_limit の値を増やす。まずは現在の値を確認。
# sysctl net.ipv4.tcp_challenge_ack_limit net.ipv4.tcp_challenge_ack_limit = 100
以下のファイルを作る。ここではシーケンス番号を推測しづらくするために net.ipv4.tcp_challenge_ack_limit を大きな値 (2^30 - 1) にしている。
# cat /etc/sysctl.d/99-CVE-2016-5696.conf # https://security-tracker.debian.org/tracker/CVE-2016-5696 # https://ucrtoday.ucr.edu/39030 # https://blogs.akamai.com/2016/08/vulnerability-in-the-linux-kernels-tcp-stack-implementation.html net.ipv4.tcp_challenge_ack_limit = 1073741823 # sysctl net.ipv4.tcp_challenge_ack_limit # sysctl --system # sysctl net.ipv4.tcp_challenge_ack_limit
変更内容を反映させる。
# sysctl --system * Applying /etc/sysctl.d/99-CVE-2016-5696.conf ... net.ipv4.tcp_challenge_ack_limit = 1073741823 * Applying /etc/sysctl.d/99-sysctl.conf ... * Applying /etc/sysctl.conf ...
変更内容が反映されたことを確認する。
# sysctl net.ipv4.tcp_challenge_ack_limit net.ipv4.tcp_challenge_ack_limit = 1073741823