Che cos'è il bug "Dirty COW" e come posso proteggere il mio sistema contro di esso?

22

Ho appena sentito parlare di questo bug "Dirty COW" che consente a qualsiasi utente con accesso in lettura ai file di scrivere anche su di essi e ottenere accesso amministrativo. Come posso proteggere da questo bug?

    
posta WinEunuuchs2Unix 21.10.2016 - 05:35
fonte

3 risposte

20

Il bug di Ancient Dirty COW

Questo bug esiste già dalla versione del kernel 2.6.22. Consente a un utente locale con accesso in lettura di ottenere privilegi amministrativi. È stato emesso un avviso ( Softpedia: Linux Kernels 4.8.3, 4.7.9 e 4.4.26 LTS Out to Patch" Dirty COW "Difetto di sicurezza ) e gli utenti sono sollecitato ad aggiornare al kernel Kernel Linux 4.8.3, kernel Linux 4.7.9 e kernel Linux 4.4.26 LTS. QUESTO LINK È MORTALMENTE perché queste versioni del kernel non sono supportate da Ubuntu.

Questa risposta è su misura per gli utenti di Ubuntu e ti dice:

  • Versioni del kernel consigliate per gli utenti di Ubuntu
  • Come visualizzare la versione corrente del kernel
  • Come applicare la correzione per i kernel supportati di Ubuntu
  • Come applicare la correzione per i kernel di Ubuntu non supportati

I kernel raccomandati da Ubuntu "Dirty COW"

Ubuntu ha rilasciato aggiornamenti di sicurezza il 20 ottobre 2016 per correggere il kernel utilizzato da tutte le versioni supportate di Ubuntu: Softpedia: Canonical Patches Antico kernel" Dirty COW "Bug in tutti i sistemi operativi supportati di Ubuntu

Canonical sta sollecitando tutti gli utenti a correggere immediatamente i loro sistemi installando:

  • linux-image-4.8.0-26 (4.8.0-26.28) per Ubuntu 16.10
  • linux-image-4.4.0-45 (4.4.0-45.66) per Ubuntu 16.04 LTS
  • linux-image-3.13.0-100 (3.13.0-100.147) per Ubuntu 14.04 LTS
  • linux-image-3.2.0-113 (3.2.0-113.155) per Ubuntu 12.04 LTS
  • linux-image-4.4.0-1029-raspi2 (4.4.0-1029.36)

Il kernel Xenial HWE per Ubuntu 14.04 LTS è stato aggiornato anche alla versione linux-image-4.4.0-45 (4.4.0-45.66 ~ 14.04.1), e il kernel Trusty HWE per Ubuntu 12.04 LTS alla versione linux-image-3.13.0-100 (3.13.0-100.147 ~ precise1).

Aggiorna immediatamente le tue installazioni di Ubuntu seguendo le istruzioni fornite da Canonical all'indirizzo: link .

Visualizza la versione corrente del kernel

Per visualizzare la versione corrente del Kernel in esecuzione apri il terminale con Ctrl + Alt + T e poi scrivi:

uname -a

La versione del kernel avviata con viene quindi visualizzata in questo modo:

Linux dell 4.8.1-040801-generic #201610071031 SMP Fri Oct 7 14:34:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

Ricorda che dopo aver installato il nuovo kernel con le patch, puoi ancora avviare versioni precedenti del kernel da Grub. Le versioni precedenti non avranno la patch applicata, che è il caso di questa versione del kernel 4.8.1.

Ancora una volta ricorda che la versione 4.8.1 del kernel non è supportata da Ubuntu.

Come risolvere i kernel supportati da Ubuntu

Da quando Ubuntu ha rilasciato la correzione del bug, tutti gli utenti devono fare l'upgrade del loro sistema. Se gli aggiornamenti di sicurezza giornalieri sono abilitati, l'aggiornamento del kernel è già stato eseguito. Controlla la versione del tuo kernel nella lista dei kernel di cui sopra.

Se Ubuntu non ha aggiornato automaticamente la versione del tuo kernel, esegui:

sudo apt-get update
sudo apt-get dist-upgrade
sudo reboot

Dopo il riavvio controllare la versione attuale del kernel ripetendo le istruzioni della sezione precedente.

Come risolvere i kernel di Ubuntu non supportati

Alcune installazioni con hardware più recente potrebbero utilizzare un kernel non supportato come 4.8.1 o superiore. In tal caso sarà necessario aggiornare manualmente il kernel. Sebbene il link alla segnalazione di bug sopra riportato utilizzi Kernel 4.8.3 , a partire dal 30 ottobre 2016, 4.8.5 è il più recente e questo è il modo di installarlo:

cd /tmp
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805_4.8.5-040805.201610280434_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-image-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
sudo dpkg -i *.deb
sudo reboot

Dopo il riavvio controlla la versione attuale del kernel ripetendo le istruzioni indietro di due sezioni.

    
risposta data WinEunuuchs2Unix 21.10.2016 - 05:35
fonte
1

Non sono affatto un esperto, ma avendo letto un po 'su "Dirty COW", ho sentito che volevo davvero controllare se sto bene dopo aver completato il mio aggiornamento più recente solo un paio d'ore fa.

Dai risultati della mia ricerca per parole chiave ho scelto questo articolo & amp; discussione come promettente. Ora, sono riuscito facilmente a verificare lo stato di "COW-patched" del mio sistema Xenial Xerox seguendo dapprima le istruzioni dell'articolo precedente su Visualizza la versione corrente del kernel (risulta, è: linux-image-4.4.0.-45 ) . Anche se uname -a non dettaglia le patch, ha mostrato la versione del kernel attualmente installata, che mi ha permesso di seguire il suggerimento dell'utente 643722 - e con successo così:

apt list --installed | grep linux-image-4.4.0-45

Sebbene sia stata visualizzata una linea extra inaspettata ...

WARNING: apt does not have a stable CLI interface. 
Use with caution in scripts.

... le informazioni sperate seguite nella riga successiva:

linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64  [Installiert,automatisch]

Grazie a tutti - per la rapida implementazione di soluzioni negli aggiornamenti da parte dei contributori di Linux / Ubuntu e una rapida diffusione della conoscenza tra gli utenti.

    
risposta data Ano Nyma 23.10.2016 - 02:58
fonte
1

Devi aggiornare i tuoi pacchetti utilizzando apt-get :

sudo apt-get update && sudo apt-get dist-upgrade

Inoltre puoi abilitare servizio livepach :

  

Per coincidenza, appena prima che la vulnerabilità venisse pubblicata, abbiamo rilasciato il servizio di Livepatch Canonical per Ubuntu 16.04 LTS. Le migliaia di utenti che hanno abilitato canonical-livepatch sui loro sistemi Ubuntu 16.04 LTS con quelle prime ore ricevute e hanno applicato la correzione a Dirty COW, automaticamente, in background e senza riavvio!

     
  1. Vai al link e recupera il tuo token livepatch   Installa lo snap canonical-livepatch

         

    $ sudo snap install canonical-livepatch

  2.   
  3. Abilita il servizio con il token

         

    $ sudo canonical-livepatch abilita [TOKEN]

  4.   
  5. controlla lo stato in qualsiasi momento utilizzando:

         

    $ canonical-livepatch status --verbose

  6.   
  7. Aggiornamento

         

    '$ sudo apt installa aggiornamenti automatici

  8.   
  9. Le versioni precedenti di Ubuntu (o dei sistemi Ubuntu aggiornati a 16.04) potrebbero aver bisogno di abilitare questo comportamento usando:

         

    $ sudo dpkg-reconfigure aggiornamenti automatici

  10.   

'

    
risposta data GAD3R 16.11.2016 - 12:55
fonte

Leggi altre domande sui tag