Недавно была обнаружена уязвимость в ядре Linux (CVE-2017-6074). Она дает возможность непривилегированному локальному пользователю выполнить код на уровне ядра. Например, у атакующего есть возможность переписать любыми данными содержимое другого объекта в ядре, используя технику «heap spraying».

С помощью этой уязвимости злоумышленник сможет получить доступ к ядру вашей операционной системы и запустить вредоносный код, который в свою очередь может нанести огромный вред вашему сервису: от спам рассылки до полного выхода из строя всего сервера.

Для защиты сервера необходимо обновить ОС до последней версии, в которой уязвимость закрыта. Для обновления ядра ОС необходимо перезагрузить сервер, а это лишний даунтантайм вашего сервера.

Решение проблемы для CentOS, RedHat, Fedora

https://access.redhat.com/security/cve/cve-2017-6074

Section 1. Рекомендации по устранению уязвимости:

Последние версии политики SELinux может смягчить этот недостаток. Шаги ниже будут работать с включенным SELinux или отключен.

По мере того как модуль DCCP будет автоматически загружаться при необходимости, его использование может быть отключена
путем предотвращения модуля от загрузки со следующими инструкциями:

echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf

Система должна быть перезапущена, если будут загружены модули DCCP. В большинстве случаев, модули ядра DCCP не сможет быть выгружен в то время как любые сетевые интерфейсы активны и протокол используется.

Если вам нужна дополнительная помощь, см KCS статью https://access.redhat.com/solutions/41278~~HEAD=dobj или обратитесь Hat Global Services Red поддержки.

 

Section 2. Установка обновленного ядра в CentOS:

https://lists.centos.org/pipermail/centos-announce/2017-February/022280.html

yum install kernel

вывод установки:

Загружены модули: fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirror.yandex.ru
 * extras: mirror.yandex.ru
 * updates: mirror.yandex.ru
Разрешение зависимостей
--> Проверка сценария
---> Пакет kernel.x86_64 0:3.10.0-514.6.2.el7 помечен для установки
--> Проверка зависимостей окончена

Зависимости определены

========================================================================================================================================================================================================
 Package                                      Архитектура                                  Версия                                                   Репозиторий                                   Размер
========================================================================================================================================================================================================
Установка:
 kernel                                       x86_64                                       3.10.0-514.6.2.el7                                       updates                                        37 M

Итого за операцию
========================================================================================================================================================================================================
Установить  1 пакет

Объем загрузки: 37 M
Объем изменений: 148 M
Is this ok [y/d/N]: y
Downloading packages:
Delta RPMs disabled because /usr/bin/applydeltarpm not installed.
kernel-3.10.0-514.6.2.el7.x86_64.rpm                                                                                                                                             |  37 MB  00:00:13     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Установка   : kernel-3.10.0-514.6.2.el7.x86_64                                                                                                                                                    1/1 
  Проверка    : kernel-3.10.0-514.6.2.el7.x86_64                                                                                                                                                    1/1 

Установлено:
  kernel.x86_64 0:3.10.0-514.6.2.el7                                                                                                                                                                    

Выполнено!

Section 3. Установка обновленного ядра в Ubuntu, Debian:

ap-get update
apt-get install linux-headers

Дополнительная информация в статье: https://exploit.in/2017/11188/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.