Недавно была обнаружена уязвимость в ядре Linux (CVE-2017-6074). Она дает возможность непривилегированному локальному пользователю выполнить код на уровне ядра. Например, у атакующего есть возможность переписать любыми данными содержимое другого объекта в ядре, используя технику «heap spraying».

С помощью этой уязвимости злоумышленник сможет получить доступ к ядру вашей операционной системы и запустить вредоносный код, который в свою очередь может нанести огромный вред вашему сервису: от спам рассылки до полного выхода из строя всего сервера.

Для защиты сервера необходимо обновить ОС до последней версии, в которой уязвимость закрыта. Для обновления ядра ОС необходимо перезагрузить сервер, а это лишний даунтантайм вашего сервера.

Решение проблемы для CentOS, RedHat, Fedora

https://access.redhat.com/security/cve/cve-2017-6074

Section 1. Рекомендации по устранению уязвимости:

Последние версии политики SELinux может смягчить этот недостаток. Шаги ниже будут работать с включенным SELinux или отключен.

По мере того как модуль DCCP будет автоматически загружаться при необходимости, его использование может быть отключена
путем предотвращения модуля от загрузки со следующими инструкциями:

Система должна быть перезапущена, если будут загружены модули DCCP. В большинстве случаев, модули ядра DCCP не сможет быть выгружен в то время как любые сетевые интерфейсы активны и протокол используется.

Если вам нужна дополнительная помощь, см KCS статью https://access.redhat.com/solutions/41278~~HEAD=dobj или обратитесь Hat Global Services Red поддержки.

 

Section 2. Установка обновленного ядра в CentOS:

https://lists.centos.org/pipermail/centos-announce/2017-February/022280.html

вывод установки:

Section 3. Установка обновленного ядра в Ubuntu, Debian:

Дополнительная информация в статье: https://exploit.in/2017/11188/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.