今朝、このエクスプロイトを発見しました。CentOSCVE-2016-5195カーネルにパッチを当てるにはどうすればいいでしょうか? 利用可能なパッチはありますか?
答え1
RedHat(CentOSのアップストリームベンダー)を待つアップデートを発行するすると、CentOS はその更新を CentOS 更新リポジトリに移植するので、通常どおりにパッチを適用できるようになりますyum update。
DirtyCOW はそれほど恐ろしい脆弱性ではありません。攻撃者が何らかの方法でシステムにシェル アクセスを持っていることが前提です。
RedHatはこれをCVSSv3 スコア 7.8/10つまり、通常の月次パッチサイクル以外ではパッチを当てることはありません。少なくとも月に一度は定期的にシステムにパッチを当てることがはるかに重要です。このような脆弱性は決して珍しいものではない。
アップデート:CentOSが修正をリリースしました(ありがとう、@Roflo!) を実行すると、yum updateパッチを適用したカーネルでシステムが更新されるはずです。
答え2
まだコメントできません…
利用可能なパッチがあります: https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619
CentOSにパッチが適用されたカーネルがあるかどうか確認し、ない場合は、自分でLinuxをコンパイルするリスクを負うか、誰かがシステム上で任意のコードを実行して実際に使用できないように祈るかを決めます。それ何かをするために利用する。
答え3
カーネルのアップグレードを待つ必要があります:
16:17 (GMT -3) 時点では、修正を含むパッケージはリリースされていません。
[root@centos7 ~]# yum upgrade
Loaded plugins: fastestmirror
base | 3.6 kB 00:00:00
extras | 3.4 kB 00:00:00
updates | 3.4 kB 00:00:00
Loading mirror speeds from cached hostfile
* base: centos.ar.host-engine.com
* epel: archive.linux.duke.edu
* extras: centos.ar.host-engine.com
* updates: centos.ar.host-engine.com
No packages marked for update
[root@centos7 ~]# rpm -q --changelog kernel | grep -i CVE-2016-5195
[root@centos7 ~]# uname -a
Linux centos7.tbl.com.br 3.10.0-327.36.2.el7.x86_64 #1 SMP Mon Oct 10 23:08:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
CentOS6にも同様に適用されます。
回避策があるこの問題を解決するには を使用しますsystemtapが、 が有効になっているカーネルを使用している場合にのみ機能するようですdebuginfo。
要約: カーネルのアップグレードを待ちます。他のディストリビューションではすでにパッチが適用されています。
答え4
カーネル 3.10.0-327.36.3 へのアップグレードが yum update 経由で利用可能になりました。こちらでも利用可能かどうか確認できます。http://mirror.centos.org/centos-7/7.2.1511/updates/x86_64/Packages/