Patcha the Dirty Cow Exploit på CentOS

Vad är "Dirty Cow ( CVE-2016-5195 )"?

Sårbarheten "Dirty Cow" utnyttjas genom hur Linux bearbetar kod. Det tillåter en oprivilegierad användare att få root-privilegier. Detta kan användas på vilken server som helst med en sårbar kärna. I skrivande stund har det skett uppdateringar av vissa operativsystem, men andra är fortfarande påverkade. Sårbarheten används vanligtvis på delade värdkonton med skalåtkomst. Som sådan, för att förhindra skada på andra användare, är uppdatering avgörande.

Berörda system

Alla CentOS 5/6/7-system.

Testa och lappa

RHEL har ett verktyg tillgängligt för att testa din server. Ladda bara ner följande med:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

Om din server är sårbar kommer du att meddelas av skriptet:

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

Om du verkligen är sårbar, fortsätt till nästa steg. Annars krävs ingen åtgärd.

Patchningen är ganska enkel:

yum update -y
reboot

Kontrollera att din server har korrigerats genom att köra rh-cveskriptet igen. Om din server fortfarande påverkas måste vi patcha den manuellt.

Manuell patch

Vi måste installera Systemtap för att tillämpa kärnuppdateringen:

yum install systemtap -y

Skapa nu en fil som heter new.stp.

Klistra in följande:

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

Spara och avsluta sedan.

Kör följande kommando:

stap -g new.stp

Starta nu om din server:

shutdown -r now

Slutsats

Grattis. Du har uppdaterat din server framgångsrikt.