CentOSでのダーティカウエクスプロイトへのパッチ適用

• 「Dirty Cow（CVE-2016-5195）」とは何ですか？
• 影響を受けるシステム
• テストとパッチ
• 結論

「Dirty Cow（CVE-2016-5195）」とは何ですか？

「Dirty Cow」の脆弱性は、Linuxがコードを処理する方法を介して悪用されます。権限のないユーザーがroot権限を取得できるようにします。これは、脆弱なカーネルを持つ任意のサーバーで使用できます。これを書いている時点では、特定のオペレーティングシステムにアップデートが行われていますが、他のオペレーティングシステムは影響を受け続けています。この脆弱性は通常、シェルアクセスを持つ共有ホスティングアカウントで使用されます。したがって、他のユーザーへの被害を防ぐために、更新は非常に重要です。

影響を受けるシステム

CentOS 5/6/7システム。

テストとパッチ

RHELには、サーバーのテストに使用できるユーティリティがあります。以下をダウンロードするだけです：

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

サーバーに脆弱性がある場合は、スクリプトによって通知されます。

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

本当に脆弱である場合は、次の手順に進みます。それ以外の場合、アクションは不要です。

パッチの適用は非常に簡単です。

yum update -y
reboot

rh-cveスクリプトを再度実行して、サーバーにパッチが適用されていることを確認します。サーバーが引き続き影響を受ける場合は、手動でパッチを適用する必要があります。

手動パッチ

カーネルアップデートを適用するには、Systemtapをインストールする必要があります。

yum install systemtap -y

次に、new.stpというファイルを作成します。

以下を貼り付けます。

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

保存して終了します。

次のコマンドを実行します。

stap -g new.stp

次に、サーバーを再起動します。

shutdown -r now

結論

おめでとう。サーバーを正常に更新しました。