Уязвимость в ядре Linux

В ядре Linux выявлена уязвимость (CVE-2017-6074), позволяющая непривилегированному локальному пользователю выполнить код правами root.

Проявляется во всех ядрах с поддержкой DCCP, начиная с 2.6.14 и вплоть до выпуска 4.9.11, собранных с опцией CONFIG_IP_DCCP
В большинстве случаев dccp отключен в ядре или подключается как модуль. Его запуск необходимо запретить в системе.

Проверить и исправить можно так:

  1. #lsmod | grep dccp
    Если команда ничего не выдаёт, то модуль не используется и переходим к пункту два. Если модуль найден, попробуйте его отключить через rmmod dccp. Если после этого lsmod | grep dccp ничего не выдаёт, то переходим в пункту два. Если выгрузить модуль не получается, то решение одно - нужно обновлять ядро.
  2. Пробуем загрузить модуль через modprobe dccp
    Если не загружается и по lsmod | grep dccp ничего не находит, то его нет в системе и уязвимость не коснулась вашего сервера.
  3. Отключаем модуль и блокируем его загрузку:
    #rmmod dccp
    #echo install dccp /bin/false > /etc/modprobe.d/blacklist.conf

После этих операций команда modprobe dccp должна выдавать ошибку.


3 марта 2017

Вас может заинтересовать