RFC 5961 Linux TCP漏洞是否有解决方法？

注意：由于历史原因，我们保留了“解决方法”部分，但请直接跳到下面的“修复”部分。
解决方法：
如此处所述：
引用： 好消息是，问题很容易修复。首先，Linux本身正在进行补丁修复以阻止攻击向量。然后，您只需将“challenge ACK limit”提高到一个极大的值，使其几乎不可能利用导致攻击成功的侧信道问题。
由于此问题影响客户端和服务器，实际上是任何两台通过网络通信的Linux机器，因此在两者中都要实施解决方法，并在修复发布后尽快进行修复。
要实施解决方法，请按照以下步骤操作：

1. 使用以下命令打开配置文件：sudoedit /etc/sysctl.conf
2. 在文件中插入以下行：net.ipv4.tcp_challenge_ack_limit = 999999999，然后保存文件
3. 运行sudo sysctl -p来更新配置

---

您也可以直接从终端执行此操作：

sudo bash -c 'echo "net.ipv4.tcp_challenge_ack_limit = 999999999" >>/etc/sysctl.conf'

或者：

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' | sudo tee -a /etc/sysctl.conf

然后运行：

sudo sysctl -p

---

修复：

如此处所述：

net/ipv4/tcp_input.c in the Linux kernel before 4.7 does not properly
determine the rate of challenge ACK segments, which makes it easier for
man-in-the-middle attackers to hijack TCP sessions via a blind in-window
attack.
...
sbeattie> fix is going to land in Ubuntu kernels in this SRU cycle,  
with a likely release date of Aug 27. Earlier access to the kernels  
with the fix will be available from the -proposed pocket, though they 
come with the risk of being less tested.

现在已经发布了一个修复版本。

linux (4.4.0-36.55) xenial; urgency=low

  [ Stefan Bader ]

  * Release Tracking Bug
    - LP: #1612305

  * I2C touchpad does not work on AMD platform (LP: #1612006)
    - SAUCE: pinctrl/amd: Remove the default de-bounce time

  * CVE-2016-5696
    - tcp: make challenge acks less predictable

 -- Stefan Bader <stefan.bader@canonical.com>  Thu, 11 Aug 2016 17:34:14 +0200

运行：

sudo apt-get update
sudo apt-get dist-upgrade

为了确保您拥有最新版本，或者如果您更喜欢通过图形用户界面进行更新，可以使用软件更新器。
您可以通过以下方式检查您正在运行的版本以及可用的版本：

apt-cache policy linux-image-generic