Грязная корова эксплуатирует CVE-2016-5195

8

Сегодня утром мы обнаруживаем этот эксплойт. CVE-2016-5195Как мы можем исправить ядро ​​CentOS? есть ли патч?

http://www.cyberciti.biz/faq/dirtycow-linux-cve-2016-5195-kernel-local-privilege-escalation-vulnerability-fix/

centos security linux-kernel Сатиш
источник
2
Почему голосование за это опасная уязвимость?
GAD3R
@ GAD3R Ой, кажется, VLQ
кошка
1
Эта ошибка уже исправлена ​​в некоторых основных версиях Linux, просто обновите свою систему, а затем проверьте ее, выполнив эксплойт
GAD3R

Ответы:

6

Дождитесь, пока RedHat (вышестоящий вендор CentOS) выпустит обновление , затем CentOS перенесет это обновление в репозитории обновлений CentOS, чтобы вы могли просто выполнить патч yum updateкак обычно.

DirtyCOW не так уж страшен уязвимости. Требуется, чтобы у злоумышленника уже был какой-то способ доступа оболочки к вашей системе.

RedHat получил оценку CVSSv3 7,8 / 10 , что означает, что я не буду патчить вне обычного ежемесячного цикла патчей. Гораздо важнее, что вы регулярно обновляете свою систему хотя бы раз в месяц, так как такие уязвимости вряд ли редки .

Обновление : CentOS выпустила исправление (Спасибо, @Roflo!). Запуск yum updateдолжен обновить вашу систему с исправленным ядром.

бессмертный хлюп
источник
2
Я позволю себе не согласиться с тем, что это страшно или нет. Недостатки Wordpress и drupal - это фантастика, когда незапрошенные пользователи запускают непривилегированные команды; У меня также был злоумышленник, сидящий на фишинговом пароле для непривилегированного пользователя и использующий его для входа в систему на бастионном хосте в течение недели, когда несколько лет назад было 2 уязвимости эскалации. К счастью, я уже исправил
Rui F Ribeiro
1
Да, люди всегда должны помнить о своих конкретных ситуациях. Если вы используете небезопасное программное обеспечение или приложение, которое может предоставлять доступ к исполняемым файлам ненадежных пользователей, вам следует рассматривать эту уязвимость как критическую. Тем не менее, в большинстве случаев время, потраченное на игру в уязвимости, лучше использовать для защиты вашего сервера от ненадежного доступа.
Бессмертный сквош
1
CentOS загрузил обновление . Возможно, вы хотите обновить свой ответ?
Roflo
@Roflo Спасибо за внимание. Ответ обновлен.
Бессмертный сквош
1

Пока не можете комментировать ...

Доступен патч: https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619

Проверьте, имеет ли CentOS исправленное ядро, если нет: решите, рискнуть ли вы самим компилировать Linux, или надейтесь, что никто не сможет выполнить произвольный код в вашей системе, и на самом деле использует этот эксплойт, чтобы что-то сделать.

Оскар Ског
источник
1

Вам нужно дождаться обновления ядра:

По состоянию на 16:17 (GMT -3) не было выпущено ни одного пакета с исправлением:

[root@centos7 ~]# yum upgrade
Loaded plugins: fastestmirror
base                                                                                                                                                 | 3.6 kB  00:00:00
extras                                                                                                                                               | 3.4 kB  00:00:00
updates                                                                                                                                              | 3.4 kB  00:00:00
Loading mirror speeds from cached hostfile
 * base: centos.ar.host-engine.com
 * epel: archive.linux.duke.edu
 * extras: centos.ar.host-engine.com
 * updates: centos.ar.host-engine.com
No packages marked for update

[root@centos7 ~]# rpm -q --changelog kernel  | grep -i CVE-2016-5195
[root@centos7 ~]# uname -a
Linux centos7.tbl.com.br 3.10.0-327.36.2.el7.x86_64 #1 SMP Mon Oct 10 23:08:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

То же относится и к CentOS6.

Для решения этой проблемы есть обходной путьsystemtap , но кажется, что он работает, если вы используете ядро ​​с debuginfoвключенным.

tl, dr : дождитесь обновления ядра. Другие дистрибутивы уже применили патч.


источник