Łatowanie wykorzystania brudnej krowy na CentOS

• Co to jest „Dirty Cow (CVE-2016-5195)”?
• Dotknięte systemy
• Test i łatanie
• Wniosek

Co to jest „Dirty Cow ( CVE-2016-5195 )”?

Podatność „Dirty Cow” jest wykorzystywana przez sposób, w jaki Linux przetwarza kod. Pozwala nieuprzywilejowanemu użytkownikowi uzyskać uprawnienia roota. Można tego użyć na dowolnym serwerze z wrażliwym jądrem. W chwili pisania tego tekstu były aktualizacje niektórych systemów operacyjnych, ale inne pozostają zagrożone. Luka jest zwykle wykorzystywana na współdzielonych kontach hostingowych z dostępem do powłoki. W związku z tym, aby zapobiec szkodom dla innych użytkowników, aktualizacja jest niezbędna.

Dotknięte systemy

Dowolny system CentOS 5/6/7.

Test i łatanie

RHEL udostępnia narzędzie do testowania serwera. Wystarczy pobrać następujące:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

bash rh-cve-2016-5195_1.sh

Jeśli twój serwer jest podatny na atak, skrypt zostanie o tym powiadomiony:

Your kernel is <version here> which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

Jeśli rzeczywiście jesteś wrażliwy, przejdź do następnego kroku. W przeciwnym razie nie jest wymagane żadne działanie.

Łatka jest dość prosta:

yum update -y
reboot

Sprawdź, czy serwer został załatany, rh-cveponownie uruchamiając skrypt. Jeśli nadal dotyczy to Twojego serwera, musimy go załatać ręcznie.

Łatka ręczna

Musimy zainstalować Systemtap, aby zastosować aktualizację jądra:

yum install systemtap -y

Teraz utwórz plik o nazwie new.stp.

Wklej następujące:

probe     kernel.function("mem_write").ca ll ? {
        $count = 0
}

probe syscall.ptrace {  //   includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195   mitigation loaded")
}

probe end {
        printk(0, "CVE-2016-5195    mitigation unloaded")
}

Zapisz, a następnie wyjdź.

Uruchom następujące polecenie:

stap -g new.stp

Teraz uruchom ponownie serwer:

shutdown -r now

Wniosek

Gratulacje. Serwer został pomyślnie zaktualizowany.