Patching the Dirty Cow Exploit på CentOS

Hvad er "Dirty Cow ( CVE-2016-5195 )"?

"Dirty Cow"-sårbarheden udnyttes gennem, hvordan Linux behandler kode. Det giver en uprivilegeret bruger mulighed for at få root-privilegier. Dette kan bruges på enhver server med en sårbar kerne. I skrivende stund har der været opdateringer til visse operativsystemer, men andre er fortsat påvirket. Sårbarheden bruges typisk på delte hostingkonti med shell-adgang. Som sådan, for at forhindre skade på andre brugere, er opdatering afgørende.

Berørte systemer

Ethvert CentOS 5/6/7-system.

Test og patching

RHEL har et hjælpeprogram til rådighed til at teste din server. Du skal blot downloade følgende med:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

Hvis din server er sårbar, vil du blive underrettet af scriptet:

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

Hvis du virkelig er sårbar, så fortsæt til næste trin. Ellers kræves ingen handling.

Patching er ret simpelt:

yum update -y
reboot

Tjek, at din server blev rettet ved at køre rh-cvescriptet igen. Hvis din server stadig er påvirket, skal vi patche den manuelt.

Manuel patch

Vi skal installere Systemtap for at anvende kerneopdateringen:

yum install systemtap -y

Opret nu en fil kaldet new.stp.

Indsæt følgende:

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

Gem, og afslut derefter.

Kør følgende kommando:

stap -g new.stp

Genstart nu din server:

shutdown -r now

Konklusion

Tillykke. Du har opdateret din server med succes.