CentOS에서 더티 소 악용 패치

• "더티 소 (CVE-2016-5195)"란 무엇입니까?
• 영향을받는 시스템
• 테스트 및 패치
• 결론

"더티 소 ( CVE-2016-5195 )"란 무엇입니까?

"더티 카우"취약점은 리눅스가 코드를 처리하는 방법을 통해 악용됩니다. 권한이없는 사용자가 루트 권한을 얻을 수 있습니다. 커널이 취약한 모든 서버에서 사용할 수 있습니다. 작성 당시에는 특정 운영 체제에 대한 업데이트가 있었지만 다른 운영 체제에는 영향을 미칩니다. 이 취약점은 일반적으로 셸 액세스 권한이있는 공유 호스팅 계정에서 사용됩니다. 따라서 다른 사용자의 손상을 방지하려면 업데이트가 중요합니다.

영향을받는 시스템

모든 CentOS 5/6/7 시스템.

테스트 및 패치

RHEL에는 서버를 테스트 할 수있는 유틸리티가 있습니다. 함께 다음을 다운로드하십시오.

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

서버가 취약한 경우 다음 스크립트로 알림을받습니다.

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

실제로 취약한 경우 다음 단계로 진행하십시오. 그렇지 않으면 조치가 필요하지 않습니다.

패치는 매우 간단합니다.

yum update -y
reboot

rh-cve스크립트를 다시 실행하여 서버가 패치되었는지 확인 하십시오. 서버가 여전히 영향을받는 경우 수동으로 패치해야합니다.

매뉴얼 패치

커널 업데이트를 적용하려면 Systemtap을 설치해야합니다.

yum install systemtap -y

이제 new.stp 라는 파일을 만듭니다 .

다음을 붙여 넣습니다.

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

저장 후 종료하십시오.

다음 명령을 실행하십시오.

stap -g new.stp

이제 서버를 재부팅하십시오 :

shutdown -r now

결론

축하합니다. 서버를 성공적으로 업데이트했습니다.