Dirty Cow Exploiti lappimine CentOS-is

Mis on "Dirty Cow ( CVE-2016-5195 )"?

"Dirty Cow" haavatavust kasutatakse ära selle kaudu, kuidas Linux koodi töötleb. See võimaldab privilegeerimata kasutajal saada juurõigusi. Seda saab kasutada igas haavatava kerneliga serveris. Artikli kirjutamise ajal on teatud operatsioonisüsteeme värskendatud, kuid teised on endiselt mõjutatud. Seda haavatavust kasutatakse tavaliselt shell-juurdepääsuga jagatud hostimise kontodel. Seetõttu on värskendamine ülioluline, et vältida kahju teistele kasutajatele.

Mõjutatud süsteemid

Mis tahes CentOS 5/6/7 süsteem.

Test ja lappimine

RHEL-il on teie serveri testimiseks saadaval utiliit. Laadige lihtsalt alla järgmine koos:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

Kui teie server on haavatav, teavitab teid skript:

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

Kui olete tõesti haavatav, jätkake järgmise sammuga. Vastasel juhul pole midagi vaja.

Paigutamine on üsna lihtne:

yum update -y
reboot

Kontrollige, kas teie server on paigatud, käivitades rh-cveskripti uuesti. Kui teie server on endiselt mõjutatud, peame selle käsitsi parandama.

Manuaalne plaaster

Kerneli värskenduse rakendamiseks peame installima Systemtapi:

yum install systemtap -y

Nüüd looge fail nimega new.stp.

Kleepige järgmine:

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

Salvestage ja seejärel väljuge.

Käivitage järgmine käsk:

stap -g new.stp

Nüüd taaskäivitage oma server:

shutdown -r now

Järeldus

Palju õnne. Olete oma serverit edukalt värskendanud.