阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 18078阅读
  • 19回复

[安全漏洞公告专区]【漏洞公告】CVE-2016-5195“脏牛(Dirty COW)”漏洞- Linux内核通杀提权漏洞

发帖
29
云币
51
        20161020日,Linux内核团队修复了长达9年的0day漏洞-CVE-2016-5195,该漏洞被称为“脏牛漏洞(DirtyCOW)”,漏洞是由于Linux 内核的内存子系统在处理 Copy-on-Write 时出现竞争条件(漏洞),导致私有的只读内存映射被破坏、获取读写权限后进一步提权,影响范围较大,具体详情如下:
hlKM4JT\  
                                
H"5=z7w  
漏洞编号:CVE-2016-5195 -F7P$/9  
漏洞名称:脏牛(Dirty COW U,Q  
风险等级: 0^('hS&  
漏洞危害: )JA9bR <  
黑客可以通过远程入侵获取低权限用户shell后,然后利用该漏洞在全版本Linux系统上实现本地提权,从而获取服务root权限。 (baBi9<P=  
漏洞利用条件: W6^YFN  
黑客可以通过远程入侵获取低权限用户shell, 才能进一步利用该漏洞。 BZP{{  
漏洞影响范围: .QVN&UyZ  
根据Linux内核官方评估2007年来发行的 >=2.6.22的内核版本全部受影响,目前该漏洞POC已经公布,为了确保您在阿里上的业务不会被利用造成安全事件,阿里云安全团队在第一时间针对ECS提供的Linux操作系统镜像进行测试,具体受影响范围如下表: i&m t-  
8{4SaT.-Rm  
我们建议您使用以下方式自查是否存在此漏洞:
<rI8O;\H  
使用uname –a查看Linux系统的内核版本: )=TS)C4  
不受影响系统:
[root@AYxxxx ~]# uname -a
7 MZ(tOR  
Linux AYxxxx 2.6.18-308.el5 #1 SMPTue Feb 21 20:06:06 EST 2012 x86_64 x86_64 x86_64 GNU/Linux
该内核为Linux version 2.6.18-308.el5,不受此漏洞影响。
IRG-H!FV  
受影响系统: O&g$dK!Rad  
[root@AYxxxx~]# uname -a @V=HY  
Linux AYxxxx 2.6.32-431.23.3.el6.x86_64 #1 SMP Thu Jul 31 17:20:51 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux }'u0Q6Obj  
该内核为Linux 2.6.32-431.23.3.el6.x86_64,受此漏洞影响。 9M;k(B!  
It#T\fU  
B`w@Xk'D  
漏洞修复:       hM nJH_siY  
漏洞修复方式: tRYi q  
一. CentOS系统 HDHC9E6  
修复准备
1、正确关闭您的业务服务,并做好数据备份工作; ~0V,B1a  
2、修复前对服务器创建快照,避免修复失败造成不可逆的影响
修复方式
CentOS 5/6/7 系列操作系统 阿里云已经更新了CentOS 5/6/7 Aliyun mirror源,在默认配置下,您可以更新软件列表,随后按照以下步骤升级内核:
1.检查是否有内核升级包:yum check-update |grep kernel
2.升级内核:yum update kernel
3.确认下新版本的内核或 initrd/initramfs 是否有xen-vbd和virtio_blk驱动:
lsinitrd /boot/initramfs-2.6.32-642.6.2.el6.x86_64.img |grep -i -E 'xen-blkfront|virtio_blk
4).如果有,则可以重启
5).如果没有,则需要给initrd/initramfs安装驱动,然后执行第三步后重启:
centos 5:
#mkinitrd -f --allow-missing \
--with=xen-vbd  --preload=xen-vbd \
--with=xen-platform-pci --preload=xen-platform-pci \
--with=virtio_blk --preload=virtio_blk \
--with=virtio_pci --preload=virtio_pci \
--with=virtio_console --preload=virtio_console \
--with=hvc_console --preload=hvc_console \
$target_initrd $vmlinuz(表示内核版本号)
(具体是版本而定,可以到cd /boot/ 目录下面查看,替换$target_initrd $vmlinuz)
centos 6、7 :
#mkinitrd -f --allow-missing \
--with=xen-blkfront --preload=xen-blkfront \
--with=virtio_blk --preload=virtio_blk \
--with=virtio_pci --preload=virtio_pci \
--with=virtio_console --preload=virtio_console \
$target_initrd $vmlinuz
(具体是版本而定,可以到cd /boot/ 目录下面查看,替换$target_initrd $vmlinuz)
样例:
#mkinitrd -f --allow-missing --with=xen-blkfront --preload=xen-blkfront --with=virtio_blk --preload=virtio_blk --with=virtio_pci --preload=virtio_pci --with=virtio_console --preload=virtio_console initramfs-2.6.32-642.6.2.el6.x86_64.img 2.6.32-642.6.2.el6.x86_64
5).执行第三步后,查看是否有驱动,然后重启系
# lsinitrd /boot/initramfs-2.6.32-642.6.2.el6.x86_64.img |grep -i -E 'xen-blkfront|virtio_blk'
-rwxr--r--   1 root     root        23448 Nov  4 16:21 lib/modules/2.6.32-642.6.2.el6.x86_64/kernel/drivers/block/virtio_blk.ko
-rwxr--r--   1 root     root        54888 Nov  4 16:21 lib/modules/2.6.32-642.6.2.el6.x86_64/kernel/drivers/block/xen-blkfront.ko
6).查看升级后的内核版本:uname -a或者rpm -q --changelog kernel | grep 'CVE-2016-5195',也可以使用云盾安骑士验证
注:更新完毕后可能会安装两个内核,但不影响系统运行。
_1ax6MwX  
# uname -a
Linux iZ2ze1zpafrqftmdfh0b3cZ 2.6.32-642.6.2.el6.x86_64 #1 SMP Wed Oct 26 06:52:09 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
#rpm -q --changelog kernel | grep 'CVE-2016-5195'
- [mm] close FOLL MAP_PRIVATE race (Larry Woodman) [1385116 1385117] {CVE-2016-5195}
修复风险
未知
需要重启
Y]neTX [ef  
二. AliyunOS系统
修复准备
1、正确关闭您的业务服务,并做好数据备份工作; jM[]Uh  
2、修复前对服务器创建快照,避免修复失败造成不可逆的影响
修复方式
Aliyun OS修复方式暂无
修复风险
未知
需要重启
!n3J6%b9y/  
三.  Ubuntu系统
修复准备
1、正确关闭您的业务服务,并做好数据备份工作; 2)T.Ci cx  
2、修复前对服务器创建快照,避免修复失败造成不可逆的影响
修复方式
1、查看是否有最新更新包: dpkg -l  | grep linux
2、更新列表:apt-get update 或apt update
3、升级:
Ubuntu12.04版本:apt-get install linux-generic
Ubuntu14.04版本:apt-get upgrade或apt  upgrade
修复风险
未知
需要重启
备注
保持系统默认配置
Jty/gjK+  
四. Debain系统
修复准备
1、正确关闭您的业务服务,并做好数据备份工作; zlhI\jRdc  
2、修复前对服务器创建快照,避免修复失败造成不可逆的影响
修复方式
1、查看是否有最新更新包: dpkg -l  | grep linux
2、更新列表:apt-get update
2、升级:apt-get upgrade
修复风险
未知
需要重启
备注
保持系统默认配置
`nv82v  
五. SUSE Linux Enterprise Server系统(仅限购买SLES企业服务用户)
修复准备
1、正确关闭您的业务服务,并做好数据备份工作; /SKgN{tWe  
2、修复前对服务器创建快照,避免修复失败造成不可逆的影响
修复方式
1、更新列表:zypper refresh
2、安装最新内核:zypper install kernel-default xen-kmp-default
3、确认下新版本的内核或 initrd / initramfs 是否有xen-vbd和virtio_blk驱动lsinitrd  /boot/initrd-3.12.62-55-default | grep -i -E 'xen-vbd|virtio_blk'
样例:
# lsinitrd  /boot/initrd-3.12.62-55-default | grep -i -E 'xen-vbd|virtio_blk'
lib/modules/3.12.62-55-default/kernel/drivers/block/virtio_blk.ko
lib/modules/3.12.62-55-default/updates/blkfront/xen-vbd.ko
如果有,可以重启
如果没有,则需要给 initrd / initramfs 安装驱动
#mkinitrd -k /boot/vmlinuz-3.12.62-55-default  -i /boot/initrd-3.12.62-55-default(具体版本根据实际安装为准)
修复风险
未知
需要重启
Bhf4 /$  
六. Open SUSE系统
修复准备
1、正确关闭您的业务服务,并做好数据备份工作; s#>``E!  
2、修复前对服务器创建快照,避免修复失败造成不可逆的影响
修复方式
1、更新列表:zypper refresh
2、安装最新内核:zypper install kernel-default xen-kmp-default
3、确认下新版本的内核或 initrd / initramfs 是否有xen-vbd和virtio_blk驱动lsinitrd  /boot/initrd-3.12.62-55-default | grep -i -E 'xen-vbd|virtio_blk'
样例:
# lsinitrd  /boot/initrd-3.12.62-55-default | grep -i -E 'xen-vbd|virtio_blk'
lib/modules/3.12.62-55-default/kernel/drivers/block/virtio_blk.ko
lib/modules/3.12.62-55-default/updates/blkfront/xen-vbd.ko
如果有,可以重启
如果没有,则需要给 initrd / initramfs 安装驱动
#mkinitrd -k /boot/vmlinuz-3.12.62-55-default  -i /boot/initrd-3.12.62-55-default(具体版本根据实际安装为准)
修复风险
未知
需要重启
}%Vx2Q  
七. CoreOS系统
修复准备
1、正确关闭您的业务服务,并做好数据备份工作; Sp\ 7  
2、修复前对服务器创建快照,避免修复失败造成不可逆的影响
修复方式
update_engine_client -update
修复风险
未知
需要重启
d: LP8  
8/T,.<5  
  • 对于阿里云官方发布的其余系列的操作系统,Linux 官方正在研发漏洞对应的系统补丁,待补丁发布后,将系统更新到最新版本即可修复漏洞。
  • 对于自定义镜像用户可以关注操作系统原厂商更新状态,自己根据自身业务判断升级内核,修复该漏洞。
  • 如果您的服务器安装了第三方的防护软件有可能会导致内核升级不成功,例如:云锁、安全狗,建议您先卸载后升级内核成功后再安装启用。
^"{txd?6  
HwxME%w  
Bs;.oK5!n@  
更多漏洞相关信息请参见以下链接: kpx2e2C|  
1.https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails h ngdeGa  
2.https://github.com/dirtycow dW9Ci"~v  
3.http://dirtycow.ninja/ w ;]~2$  
4.https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619 hWAZP=H  
5.http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html <?Y.w1  
6.https://access.redhat.com/security/cve/cve-2016-5195 g3kF&+2i  
7.https://www.suse.com/security/cve/CVE-2016-5195.html pa2cM%48  
8.https://security-tracker.debian.org/tracker/CVE-2016-5195 xO<Uz"R  
9.https://access.redhat.com/security/vulnerabilities/2706661 dZ{yNh.]  
10.http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html >*e,+ok  
,%U'>F?  
a[ A*9%a  
3fhlMOm  
#n6<jF1G  
R^=[D#*]>  
1%k$9[!l%  
? yek\X  
[fl^1!3{  
;6/dFOZn  
D/TEx2.=J3  
$^louas&  
`uLH3sr  
?n9?`8a#  
V^E.9fs,  
m+'vrxTY  
QTbv3#  
Av"^uevfs  
0PT\/imgN  
qgk6 \&K[  
)Y 9JP@}T  
.wJv_  
sEm064  
sJB::6+1(|  
$Oi@B)=4d+  
QX >Pni  
%\QK/`krp  
9Netnzv%  
%VmHw~xyF:  
HL34pmc  
9Bw.Ih[Z  
[ 此帖被英鸷在2016-11-14 15:37重新编辑 ]
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 沙发  发表于: 2016-10-22
Re:【漏洞预警】CVE-2016-5195“脏牛(Dirty COW)”漏洞- Linux内核通杀提权漏 ..
RHEL 的消息呢?
级别: 论坛版主
发帖
241
云币
478
只看该作者 板凳  发表于: 2016-10-24
回 1楼(ivmmff) 的帖子
您好,目前阿里云不提供Redhat系统镜像,所以在此文中不涉及到redhat相关信息,截止到目前,仍未见到redhat官方发布补丁的消息,具体您可以参见Redhat官网安全中心信息,谢谢您对阿里云的支持!
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 地板  发表于: 2016-10-24
回 2楼(正禾) 的帖子
那么能透露一下什么时候放出 kuI$VC  
Ubuntu 16.04 和 WIn server 2016 的公共镜像么
级别: 新人
发帖
2
云币
2
只看该作者 4楼 发表于: 2016-10-27
Re【漏洞公告】CVE-2016-5195“脏牛(Dirty COW)”漏洞Linux内核通杀提权漏
目前安全团队是否在ECS服务器中 ,对centos6和7 测试了此安全漏洞的修复
级别: 论坛版主
发帖
241
云币
478
只看该作者 5楼 发表于: 2016-10-27
回 4楼(leemo.ding) 的帖子
您好,经过测试,centos 7可以更新,但是6版本还未发布补丁!
级别: 论坛版主
发帖
241
云币
478
只看该作者 6楼 发表于: 2016-10-27
回 3楼(ivmmff) 的帖子
抱歉,具体信息您可以到ECS版块咨询一下,感谢您对阿里云的支持!
级别: 新人
发帖
2
云币
2
只看该作者 7楼 发表于: 2016-10-27
Re【漏洞公告】CVE-2016-5195“脏牛(Dirty COW)”漏洞Linux内核通杀提权漏
kernel-2.6.32-642.6.2.el6.x86_64.rpm  请确认下centos6的这个补丁
级别: 论坛版主
发帖
6215
云币
15223
只看该作者 8楼 发表于: 2016-10-28
Re:【漏洞公告】CVE-2016-5195“脏牛(Dirty COW)”漏洞- Linux内核通杀提权漏 ..
yum check-update |grep kernel  以后在阿里云的更新源里边找到 }O8#4-E_Ji  
2.6.32-642.6.2.el6 to3D#9Ep  
这个修复 了吗 _;u@xl=  
大家提问,请详细描述问题。
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 9楼 发表于: 2016-10-29
回 8楼(小猪猪) 的帖子
昨天上午十点差不多都已经可以升级修复了
级别: 新人
发帖
2
云币
2
只看该作者 10楼 发表于: 2016-11-04
Re【漏洞公告】CVE-2016-5195“脏牛(Dirty COW)”漏洞Linux内核通杀提权漏
黑客利用资产上的 UDP_RISK_PORT 服务发起对外DDos攻击,建议使用防火墙限制信任IP访问服务。 16n8[U!  
这个如何解决
级别: 新人
发帖
3
云币
4
只看该作者 11楼 发表于: 2016-11-06
Re【漏洞公告】CVE-2016-5195“脏牛(Dirty COW)”漏洞Linux内核通杀提权漏
我ubuntu12.04按照你的说明更新了系统,然后连不上网了。网卡都不见了,怎么解决。 y/ Bo 4fM  
这是我在管理终端上的截图
[ 此帖被夜眼在2016-11-06 22:53重新编辑 ]
级别: 论坛版主
发帖
6215
云币
15223
只看该作者 12楼 发表于: 2016-11-07
Re:【漏洞公告】CVE-2016-5195“脏牛(Dirty COW)”漏洞- Linux内核通杀提权漏 ..
  这个可以不用修复吗 这个是提权漏洞
大家提问,请详细描述问题。
级别: 论坛版主
发帖
241
云币
478
只看该作者 13楼 发表于: 2016-11-08
回 10楼(aaab1) 的帖子
您需要自查是否对外开启了这些被利用的UDP端口,如果有,需要关停服务或者是用安全组访问控制,不要互联网开放,感谢您对阿里云的支持!
级别: 新人
发帖
3
云币
5
只看该作者 14楼 发表于: 2016-11-10
Re【漏洞公告】CVE-2016-5195“脏牛(Dirty COW)”漏洞Linux内核通杀提权漏
centos 6.x,内核2.6.32,要怎么升级
发表主题 回复主题
« 返回列表
«12»
共2页
上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)