오늘 아침에 우리는 이 익스플로잇을 발견했습니다. CVE-2016-5195CentOS 커널을 어떻게 패치합니까? 패치가 있나요?
답변1
RedHat(CentOS 업스트림 공급업체)을 기다립니다.업데이트를 발행하려면, 그러면 CentOS는 해당 업데이트를 CentOS 업데이트 리포지토리로 포팅하므로 yum update평소대로 간단히 패치할 수 있습니다.
DirtyCOW는 취약점을 그다지 두려워하지 않습니다. 이를 위해서는 공격자가 이미 시스템에 대한 일종의 셸 액세스 권한을 갖고 있어야 합니다.
RedHat은 다음과 같은 평가를 받았습니다.CVSSv3 점수 7.8/10, 이는 일반적인 월별 패치 주기 외에 패치할 내용이 아니라는 의미입니다. 최소한 한 달에 한 번씩 시스템을 정기적으로 패치하는 것이 훨씬 더 중요합니다.이러한 취약점은 거의 드물다.
업데이트:CentOS가 수정 사항을 출시했습니다.(@Roflo님, 감사합니다!) 를 실행하면 yum update시스템이 패치된 커널로 업데이트됩니다.
답변2
아직 댓글을 달 수 없습니다...
사용 가능한 패치가 있습니다: https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619
CentOS에 패치된 커널이 있는지 확인하십시오. 그렇지 않은 경우 Linux를 직접 컴파일하는 위험을 감수할지 아니면 아무도 시스템에서 임의의 코드를 실행하지 않고 실제로 사용하지 않기를 바라는지 결정하십시오.저것무언가를 하기 위해 악용합니다.
답변3
커널 업그레이드를 기다려야 합니다.
16:17(GMT -3)에는 수정 사항이 포함된 패키지가 릴리스되지 않았습니다.
[root@centos7 ~]# yum upgrade
Loaded plugins: fastestmirror
base | 3.6 kB 00:00:00
extras | 3.4 kB 00:00:00
updates | 3.4 kB 00:00:00
Loading mirror speeds from cached hostfile
* base: centos.ar.host-engine.com
* epel: archive.linux.duke.edu
* extras: centos.ar.host-engine.com
* updates: centos.ar.host-engine.com
No packages marked for update
[root@centos7 ~]# rpm -q --changelog kernel | grep -i CVE-2016-5195
[root@centos7 ~]# uname -a
Linux centos7.tbl.com.br 3.10.0-327.36.2.el7.x86_64 #1 SMP Mon Oct 10 23:08:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
CentOS6에도 동일하게 적용됩니다.
해결 방법이 있습니다이 문제에 대해서는 를 사용 systemtap하지만 활성화된 커널을 사용하는 경우에만 작동하는 것 같습니다 debuginfo.
tl,dr: 커널 업그레이드를 기다립니다. 다른 배포판에서는 이미 패치를 적용했습니다.
답변4
이제 yum 업데이트를 통해 3.10.0-327.36.3으로의 커널 업그레이드를 사용할 수 있습니다. 여기에서도 사용할 수 있습니다.http://mirror.centos.org/centos-7/7.2.1511/updates/x86_64/Packages/