Exploração de vaca suja CVE-2016-5195

8

Hoje de manhã descobrimos essa exploração CVE-2016-5195Como corrigimos o kernel do CentOS? Existe algum patch disponível?

http://www.cyberciti.biz/faq/dirtycow-linux-cve-2016-5195-kernel-local-privilege-escalation-vulnerability-fix/

centos security linux-kernel Satish
fonte
2
Por que recusar é uma vulnerabilidade perigosa?
GAD3R
@ GAD3R Oh idk, parecia VLQ
cat
1
O bug já está corrigido em algumas das principais versões do Linux, apenas atualize seu sistema e verifique-o executando a exploração
GAD3R 21/10/16

Respostas:

6

Aguarde o RedHat (o fornecedor upstream do CentOS) emitir uma atualização e o CentOS portará essa atualização para os repositórios de atualização do CentOS, para que você possa fazer o patch yum updatenormalmente.

DirtyCOW não é tão assustador de uma vulnerabilidade. Requer que o invasor já tenha algum tipo de acesso ao shell do seu sistema.

O RedHat classificou-o como uma pontuação no CVSSv3 de 7.8 / 10 , o que significa que não é algo que eu consertaria fora do ciclo mensal normal de correções. É muito mais importante que você atualize regularmente seu sistema pelo menos mensalmente, pois essas vulnerabilidades são dificilmente raras .

Atualização : O CentOS lançou uma correção (Obrigado, @Roflo!). A execução de um yum updatedeve atualizar seu sistema com um kernel corrigido.

squish imortal
fonte
2
Eu imploro para diferir sobre isso ser assustador ou não. As falhas do Wordpress e do drupal são fantásticas para que usuários não desejados executem comandos não privilegiados; Eu também tinha um invasor sentado em uma senha de phishing para um usuário não privilegiado e, usando-a para efetuar login em um host bastião em uma semana, havia duas vulnerabilidades de escalação há alguns anos atrás. Por sorte, eu já tinha remendado
Rui F Ribeiro
1
Sim, as pessoas devem sempre estar atentas às suas situações específicas. Se você estiver executando um software inseguro ou um aplicativo que permita acesso executável a usuários não confiáveis, convém tratar essa vulnerabilidade como crítica. Para a maioria das situações, no entanto, o tempo gasto jogando vulnerabilidade whack-a-mole seria melhor usado para proteger seu servidor contra acesso não confiável em primeiro lugar.
squish imortal 25/10
1
O CentOS enviou uma atualização . Talvez você queira atualizar sua resposta?
Roflo
@Roflo Obrigado pela atenção. Resposta atualizada.
squish imortal 26/10/16
1

Você precisa aguardar uma atualização do kernel:

Quanto às 16:17 (GMT -3), nenhum pacote foi lançado com a correção:

[root@centos7 ~]# yum upgrade
Loaded plugins: fastestmirror
base                                                                                                                                                 | 3.6 kB  00:00:00
extras                                                                                                                                               | 3.4 kB  00:00:00
updates                                                                                                                                              | 3.4 kB  00:00:00
Loading mirror speeds from cached hostfile
 * base: centos.ar.host-engine.com
 * epel: archive.linux.duke.edu
 * extras: centos.ar.host-engine.com
 * updates: centos.ar.host-engine.com
No packages marked for update

[root@centos7 ~]# rpm -q --changelog kernel  | grep -i CVE-2016-5195
[root@centos7 ~]# uname -a
Linux centos7.tbl.com.br 3.10.0-327.36.2.el7.x86_64 #1 SMP Mon Oct 10 23:08:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

O mesmo se aplica ao CentOS6.

Existe uma solução alternativa para esse problema usando systemtap, mas parece que funciona apenas se você estiver usando um kernel com o recurso debuginfoativado.

tl, dr : aguarde uma atualização do kernel. Outras distros já aplicaram o patch.


fonte