ダーティCOWエクスプロイトCVE-2016-5195
今朝、このエクスプロイトを発見しましたCVE-2016-5195 CentOSカーネルにパッチを適用するにはどうすればよいですか?利用可能なパッチはありますか?
RedHat(CentOSアップストリームベンダー)を待つ 更新を発行する 、CentOSはその更新をCentOS更新リポジトリに移植するため、yum update 普段通り。
DirtyCOWは、それほど脆弱なものではありません。これには、攻撃者がシステムに何らかの方法でシェルからアクセスできる必要があります。
RedHatの評価は CVSSv3スコア7.8/1 です。これは、通常の月次パッチサイクル以外でパッチを適用するものではないことを意味します。 このような脆弱性はめったに発生しない であるため、少なくとも毎月定期的にシステムにパッチを適用することが非常に重要です。
アップデート: CentOSは修正をリリースしました (ありがとう、@ Roflo!) yum updateパッチを当てたカーネルでシステムを更新する必要があります。
まだコメントできません...
利用可能なパッチがあります: https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619
CentOSにパッチが適用されたカーネルがあるかどうかを確認します。ない場合は、自分でLinuxをコンパイルするリスクを取るか、システムで任意のコードを実行して実際にthat何かをするために悪用する。
カーネルのアップグレードを待つ必要があります:
16:17(GMT -3)に関しては、修正されたパッケージはリリースされていません:
[root@centos7 ~]# yum upgrade
Loaded plugins: fastestmirror
base | 3.6 kB 00:00:00
extras | 3.4 kB 00:00:00
updates | 3.4 kB 00:00:00
Loading mirror speeds from cached hostfile
* base: centos.ar.Host-engine.com
* epel: archive.linux.duke.edu
* extras: centos.ar.Host-engine.com
* updates: centos.ar.Host-engine.com
No packages marked for update
[root@centos7 ~]# rpm -q --changelog kernel | grep -i CVE-2016-5195
[root@centos7 ~]# uname -a
Linux centos7.tbl.com.br 3.10.0-327.36.2.el7.x86_64 #1 SMP Mon Oct 10 23:08:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
CentOS6も同様です。
回避策がありますsystemtapを使用してこの問題を解決しますが、debuginfoを有効にしてカーネルを使用している場合にのみ機能するようです。
tl、dr:カーネルのアップグレードを待ちます。他のディストリビューションはすでにパッチを適用しています。
3.10.0-327.36.3へのカーネルアップグレードがyum updateで利用可能になりました。ここでも利用できます http://mirror.centos.org/centos-7/7.2.1511/updates/x86_64 /パッケージ/