Patching the Dirty Cow Exploit på CentOS

Hva er "Dirty Cow ( CVE-2016-5195 )"?

"Dirty Cow"-sårbarheten utnyttes gjennom hvordan Linux behandler kode. Det gjør det mulig for en uprivilegert bruker å få root-privilegier. Dette kan brukes på enhver server med en sårbar kjerne. I skrivende stund har det vært oppdateringer til enkelte operativsystemer, men andre er fortsatt berørt. Sårbarheten brukes vanligvis på delte hostingkontoer med shell-tilgang. Som sådan, for å forhindre skade på andre brukere, er oppdatering avgjørende.

Berørte systemer

Ethvert CentOS 5/6/7-system.

Test og lapping

RHEL har et verktøy tilgjengelig for å teste serveren din. Bare last ned følgende med:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

Hvis serveren din er sårbar, vil du bli varslet av skriptet:

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

Hvis du virkelig er sårbar, fortsett til neste trinn. Ellers er ingen handling nødvendig.

Patching er ganske enkelt:

yum update -y
reboot

Sjekk at serveren din ble lappet ved å kjøre rh-cveskriptet på nytt. Hvis serveren din fortsatt er berørt, må vi lappe den manuelt.

Manuell oppdatering

Vi må installere Systemtap for å bruke kjerneoppdateringen:

yum install systemtap -y

Lag nå en fil som heter new.stp.

Lim inn følgende:

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

Lagre og avslutt.

Kjør følgende kommando:

stap -g new.stp

Start nå serveren på nytt:

shutdown -r now

Konklusjon

Gratulerer. Du har oppdatert serveren din.