Недавно была обнаружена уязвимость в ядре Linux (CVE-2017-6074). Она дает возможность непривилегированному локальному пользователю выполнить код на уровне ядра. Например, у атакующего есть возможность переписать любыми данными содержимое другого объекта в ядре, используя технику «heap spraying».
С помощью этой уязвимости злоумышленник сможет получить доступ к ядру вашей операционной системы и запустить вредоносный код, который в свою очередь может нанести огромный вред вашему сервису: от спам рассылки до полного выхода из строя всего сервера.
Для защиты сервера необходимо обновить ОС до последней версии, в которой уязвимость закрыта. Для обновления ядра ОС необходимо перезагрузить сервер, а это лишний даунтантайм вашего сервера.
Последние версии политики SELinux может смягчить этот недостаток. Шаги ниже будут работать с включенным SELinux или отключен.
По мере того как модуль DCCP будет автоматически загружаться при необходимости, его использование может быть отключена
путем предотвращения модуля от загрузки со следующими инструкциями:
Система должна быть перезапущена, если будут загружены модули DCCP. В большинстве случаев, модули ядра DCCP не сможет быть выгружен в то время как любые сетевые интерфейсы активны и протокол используется.
Если вам нужна дополнительная помощь, см KCS статью https://access.redhat.com/solutions/41278~~HEAD=dobj или обратитесь Hat Global Services Red поддержки.
