來自新墨西哥大學的幾名資安研究人員在本周揭露了一個Linux漏洞,指稱此一編號為CVE-2019-14899的安全漏洞,將允許駭客挾持VPN連線,而且波及眾多基於Linux與Unix的作業系統,涵蓋Android、iOS、macOS、Ubuntu、Fedora、Debian、Arch、Manjaro、Devuan、MX Linux 19、Void Linux、Slackware、Deepin、FreeBSD與OpenBSD等。
其中的一名資安研究人員William Tolley表示,此一漏洞將讓一個鄰近網路的駭客,得以判斷是否有其他使用者連結至VPN網路,得知VPN伺服器指派給使用的虛擬IP位址,以及是否已連結到特定的網站,還能藉由計算加密封包的數量與其大小來取得精確的序列號與確認號碼,以將資料注入IPv4或IPv6的TCP串流並挾持其連線。
攻擊步驟則是先確認使用者的虛擬IP位址,利用該位址來推論有否實際連線,再以封包的加密回應來判斷實際連線的序列及確認碼,以挾持其TCP期間。
研究人員所測試的絕大多數Linux版本都含有該漏洞,特別是那些使用去年11月之後釋出的systemd的版本,因為它們關閉了反向路徑過濾機制。
除了作業系統之外,研究人員也在不同的VPN服務上測試該漏洞,顯示不論是OpenVPN、WireGuard或IKEv2/IPSec都受害,儘管並未在Tor網路上執行測試,但他們認為Tor網路是在SOCKS層上操作,且在使用空間嵌入驗證與加密機制,應該相對安全。
Tolley則建議用戶可啟用反向路徑過濾機制,並加密封包尺寸,以執行暫時性的補救。
網頁設計.RWD響應式網站.企業形象網站 / 電子工業類
網站技術:PHP/MySql
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 服務類
網站技術:PHP . Javascript/MySql
協助民眾了解與申請商標的相關流程與資訊,讓客戶加深專利商標這方面的訊息,以過往的案件來加深大眾對於商標的重要性。甚至可以為不同類型客戶量身打造品牌策略服務、分析對手情況...等等服務。
網頁設計.RWD響應式網站.活動網站 / 電子科技類
網站技術:PHP . Javascript/MySql
響應式(RWD)網頁設計,設計UI/UX使用者體驗,可於各種裝置進行網頁瀏覽(PC、平板、手機)。
一式多用的網頁,可隨著網頁內容需求的不同,動態調整網頁呈現的資料,包含影片、表單、輪播效果等,企業自行發佈新活動。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策