Ich versuche, den iptables-Workaround für Folgendes anzuwendenCVEDer iptables-Befehl
sudo iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
funktioniert, aber wir verwenden leider ufw. Gibt es eine Möglichkeit, den iptables-Befehl explizit in einen funktionierenden ufw-Befehl umzuwandeln oder eine Möglichkeit, ufw einmalige iptable-Regeln bereitzustellen, sodass diese auch nach Systemneustarts erhalten bleiben?
Antwort1
Der Link in meinem Kommentar ist korrekt. Ich konnte die reine iptables-Regel /etc/ufw/after.ruleswie folgt zur Datei hinzufügen:
# CVE-2019-11479
-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
gefolgt von einem Neuladen sudo ufw reloadzeigt meine iptables die richtige Regel in der Liste an
DROP tcp -- anywhere anywhere tcpmss match 1:500