Недавно была обнаружена уязвимость в ядре Linux (CVE-2017-6074). Она дает возможность непривилегированному локальному пользователю выполнить код на уровне ядра. Например, у атакующего есть возможность переписать любыми данными содержимое другого объекта в ядре, используя технику «heap spraying».
С помощью этой уязвимости злоумышленник сможет получить доступ к ядру вашей операционной системы и запустить вредоносный код, который в свою очередь может нанести огромный вред вашему сервису: от спам рассылки до полного выхода из строя всего сервера.
Для защиты сервера необходимо обновить ОС до последней версии, в которой уязвимость закрыта. Для обновления ядра ОС необходимо перезагрузить сервер, а это лишний даунтантайм вашего сервера.
Решение проблемы для CentOS, RedHat, Fedora
https://access.redhat.com/security/cve/cve-2017-6074
Section 1. Рекомендации по устранению уязвимости:
Последние версии политики SELinux может смягчить этот недостаток. Шаги ниже будут работать с включенным SELinux или отключен.
По мере того как модуль DCCP будет автоматически загружаться при необходимости, его использование может быть отключена
путем предотвращения модуля от загрузки со следующими инструкциями:
echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf
Система должна быть перезапущена, если будут загружены модули DCCP. В большинстве случаев, модули ядра DCCP не сможет быть выгружен в то время как любые сетевые интерфейсы активны и протокол используется.
Если вам нужна дополнительная помощь, см KCS статью https://access.redhat.com/solutions/41278~~HEAD=dobj или обратитесь Hat Global Services Red поддержки.
Section 2. Установка обновленного ядра в CentOS:
https://lists.centos.org/pipermail/centos-announce/2017-February/022280.html
yum install kernel
вывод установки:
Загружены модули: fastestmirror Loading mirror speeds from cached hostfile * base: mirror.yandex.ru * extras: mirror.yandex.ru * updates: mirror.yandex.ru Разрешение зависимостей --> Проверка сценария ---> Пакет kernel.x86_64 0:3.10.0-514.6.2.el7 помечен для установки --> Проверка зависимостей окончена Зависимости определены ======================================================================================================================================================================================================== Package Архитектура Версия Репозиторий Размер ======================================================================================================================================================================================================== Установка: kernel x86_64 3.10.0-514.6.2.el7 updates 37 M Итого за операцию ======================================================================================================================================================================================================== Установить 1 пакет Объем загрузки: 37 M Объем изменений: 148 M Is this ok [y/d/N]: y Downloading packages: Delta RPMs disabled because /usr/bin/applydeltarpm not installed. kernel-3.10.0-514.6.2.el7.x86_64.rpm | 37 MB 00:00:13 Running transaction check Running transaction test Transaction test succeeded Running transaction Установка : kernel-3.10.0-514.6.2.el7.x86_64 1/1 Проверка : kernel-3.10.0-514.6.2.el7.x86_64 1/1 Установлено: kernel.x86_64 0:3.10.0-514.6.2.el7 Выполнено!
Section 3. Установка обновленного ядра в Ubuntu, Debian:
ap-get update apt-get install linux-headers
Дополнительная информация в статье: https://exploit.in/2017/11188/