专栏名称: 运维之美
专注于Linux运维相关技术实战文章分享,欢迎关注。
目录
相关文章推荐
中国民商法律网  ·  陈嘉白:论公司法的宪法基础 | 前沿 ·  23 小时前  
河北高院  ·  十大案件揭晓,河北法院《保障丧偶妇女辅助生殖 ... ·  昨天  
河北高院  ·  十大案件揭晓,河北法院《保障丧偶妇女辅助生殖 ... ·  昨天  
京法网事  ·  揭晓!北京法院两案例入选2024年度新时代推 ... ·  昨天  
京法网事  ·  揭晓!北京法院两案例入选2024年度新时代推 ... ·  昨天  
最高人民检察院  ·  男子上班途中遭遇车祸不幸离世,一句话让工伤认 ... ·  昨天  
最高人民法院  ·  【走近一线法官】老友们,来邕城共赴一场春天的 ... ·  昨天  
51好读  ›  专栏  ›  运维之美

重大安全事件 | Ubuntu 16.04.4 暴本地提权漏洞

运维之美  · 公众号  ·  · 2018-03-17 01:49

正文

漏洞简介

Twitter 上 Nikolenko 发推表示 Ubuntu 最新版本存在一个本地提权漏洞,攻击者通过该漏洞可以直接获取 root 权限。该漏洞(CVE-2017-16995)早在老版本中已经完成修复,但是在 Ubuntu 16.04.4 版本中依旧可以被利用。


影响范围

目前已知范围:

  • Ubuntu 16.04.4

  • Linux Kernel Version 4.14-4.4 (主要影响 Debian 和 Ubuntu 发行版,Redhat 和 CentOS 不受影响。)


漏洞复现


POC 下载链接:https://www.hackersb.cn/usr/uploads/2018/03/1930063493.zip

修复方案

  • 风险临时缓解方案


Ubuntu 官网暂时没有提供修复方案,建议用户在评估风险后通过修改内核参数限制普通用户使用  bpf(2) 系统调用来临时修复此漏洞。 

$ echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled


Ubuntu 官方补丁更新请及时关注漏洞公告:https://usn.ubuntu.com/

  • 彻底根治方案

目前阿里云 xenial-proposed 源已提供补丁修复此漏洞,具体方法如下:

首先添加 xenial-proposed 软件源:

1. 公网网络环境下添加以下软件源 

$ echo "deb http://mirrors.aliyun.com/ubuntu/ xenial-proposed main restricted universe multiverse" >> /etc/apt/sources.list

2. 阿里云经典网络环境下添加以下软件源 

$ echo "deb http://mirrors.aliyuncs.com/ubuntu/ xenial-proposed main restricted universe multiverse" >> /etc/apt/sources.list

3. 阿里云VPC网络环境下添加以下软件源 

$ echo "deb http://mirrors.cloud.aliyuncs.com/ubuntu/ xenial-proposed main restricted universe multiverse" >> /etc/apt/sources.list

其次执行以下命令更新内核: 

$ apt update && apt install linux-image-generic

最后重启机器: 

$ reboot

重启完成后,使用 uname -r 检测内核是否更新,如果内核版本为 4.4.0-117 即修复成功。


参考文档

http://www.google.com
http://t.cn/RnL8uPM
http://t.cn/RnyjN39
https://www.hackersb.cn/linux/244.html



今日思想


Be your best self. It’s only through being the best we can be that we live our life to the fullest.

做你自己。做最好的自己,自然而然的,你的人生就会是最精彩。

——佚名




更多精彩热文:







请到「今天看啥」查看全文


推荐文章
中国民商法律网  ·  陈嘉白:论公司法的宪法基础 | 前沿
23 小时前
河北高院  ·  十大案件揭晓,河北法院《保障丧偶妇女辅助生殖权益案》入选!
昨天
河北高院  ·  十大案件揭晓,河北法院《保障丧偶妇女辅助生殖权益案》入选!
昨天
京法网事  ·  揭晓!北京法院两案例入选2024年度新时代推动法治进程十大案件及十大提名案件
昨天
京法网事  ·  揭晓!北京法院两案例入选2024年度新时代推动法治进程十大案件及十大提名案件
昨天
最高人民检察院  ·  男子上班途中遭遇车祸不幸离世,一句话让工伤认定之路艰难曲折……|“守护劳动者”系列报道③
昨天
最高人民法院  ·  【走近一线法官】老友们,来邕城共赴一场春天的约会吧!
昨天
程序猿  ·  在 2016 年学 JavaScript 是一种什么样的体验?
8 年前
半导体照明网  ·  关于参加国际宽带隙材料电力电子应用研讨会及商务对接的通知
7 年前
环球物理  ·  【环球物理--赞比亚驻华大使馆科技交流】金秋九月,在魅力首都北京,我们相约赞比亚驻华大使馆,期待着你的到来!
7 年前
肿瘤资讯  ·  【35 under 35科普文章连载】华莹奇医生:正确认识滑膜肉瘤!
7 年前
潇湘经略  ·  什么样的猪蹄一小时卖了10000只!明星郭晶晶、尹峰都赞不绝口!
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!