Oprava špinavé krávy Exploit na CentOS

Co je to „špinavá kráva ( CVE-2016-5195 )“?

Zranitelnost „Dirty Cow“ je zneužívána tím, jak Linux zpracovává kód. Umožňuje uživateli bez oprávnění získat práva root. To lze použít na jakémkoli serveru se zranitelným jádrem. V době psaní tohoto článku došlo k aktualizacím některých operačních systémů, ale jiné zůstávají ovlivněny. Tato chyba zabezpečení se obvykle používá na sdílených hostingových účtech s přístupem shell. Aktualizace je proto zásadní, aby se předešlo poškození ostatním uživatelům.

Postižené systémy

Jakýkoli systém CentOS 5/6/7.

Test a záplatování

RHEL má k dispozici nástroj pro testování vašeho serveru. Jednoduše si stáhněte následující pomocí:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

Pokud je váš server zranitelný, budete upozorněni skriptem:

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

Pokud jste skutečně zranitelní, pokračujte dalším krokem. V opačném případě není vyžadována žádná akce.

Patching je celkem jednoduchý:

yum update -y
reboot

rh-cveZnovu spuštěním skriptu zkontrolujte, zda byl váš server opraven . Pokud je váš server stále ovlivněn, musíme jej opravit ručně.

Manuální záplata

Abychom mohli použít aktualizaci jádra, musíme nainstalovat Systemtap:

yum install systemtap -y

Nyní vytvořte soubor s názvem new.stp.

Vložte následující:

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

Uložit a poté odejít.

Spusťte následující příkaz:

stap -g new.stp

Nyní restartujte server:

shutdown -r now

Závěr

Gratulujeme. Úspěšně jste aktualizovali svůj server.