Popravek izkoriščanja Dirty Cow na CentOS

Kaj je "Umazana krava ( CVE-2016-5195 )"?

Ranljivost "Dirty Cow" se izkorišča s tem, kako Linux obdeluje kodo. Neprivilegiranim uporabnikom omogoča pridobitev root privilegijev. To je mogoče uporabiti na katerem koli strežniku z ranljivim jedrom. V času pisanja so bile nekatere operacijske sisteme posodobitve, drugi pa ostajajo prizadeti. Ranljivost se običajno uporablja na računih za gostovanje v skupni rabi z dostopom do lupine. Zato je posodobitev ključnega pomena, da preprečite škodo drugim uporabnikom.

Prizadeti sistemi

Kateri koli sistem CentOS 5/6/7.

Test in popravek

RHEL ima na voljo pripomoček za testiranje vašega strežnika. Preprosto prenesite naslednje z:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

Če je vaš strežnik ranljiv, vas o tem obvesti skript:

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

Če ste res ranljivi, nadaljujte z naslednjim korakom. V nasprotnem primeru ukrepanje ni potrebno.

Popravek je precej preprost:

yum update -y
reboot

Preverite, ali je bil vaš strežnik popravljen, tako da rh-cveznova zaženete skript. Če je vaš strežnik še vedno prizadet, ga moramo popraviti ročno.

Ročni obliž

Za uporabo posodobitve jedra moramo namestiti Systemtap:

yum install systemtap -y

Zdaj ustvarite datoteko z imenom new.stp.

Prilepite naslednje:

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

Shrani, nato zapusti.

Zaženite naslednji ukaz:

stap -g new.stp

Zdaj znova zaženite strežnik:

shutdown -r now

Zaključek

Čestitam. Uspešno ste posodobili svoj strežnik.