如何保护您的服务器免受脏COW Linux漏洞

介绍

2016年10月19日，披露了Linux内核中的权限提升漏洞。该漏洞被昵称为Dirty COW，因为底层问题是内核处理写时复制（COW）的方式。Dirty COW已经存在了很长时间 - 至少自2007年以来，内核版本为2.6.22 - 所以绝大多数服务器都处于危险之中。

利用此错误意味着服务器上的普通，非特权用户可以获得对他们可以读取的任何文件的写入权限，因此可以增加他们对系统的权限。有关更多信息，请参阅Canonical，Red Hat和Debian的 CVE-2016-5195 。

幸运的是，大多数主要发行版已经发布了修复程序。DigitalOcean上的所有基本映像都已更新为包含已修补的内核版本，因此您创建的未来Droplet不需要更新。但是，如果您运行的是较旧的服务器，则可以按照本教程确保您受到保护。

检查漏洞

Ubuntu版本/ Debian版本

要确定您的服务器是否受到影响，请检查您的内核版本。

uname -rv

你会看到这样的输出：

4.4.0-42-generic #62-Ubuntu SMP Fri Oct 7 23:11:45 UTC 2016

如果您的版本早于以下版本，则会受到影响：

• 4.8.0-26.28 for Ubuntu 16.10
• 4.4.0-45.66适用于Ubuntu 16.04 LTS
• 3.13.0-100.147适用于Ubuntu 14.04 LTS
• 3.2.0-113.155 for Ubuntu 12.04 LTS
• Debian 8的3.16.36-1 + deb8u2
• Debian的3.2.82-1 7
• 4.7.8-1版本对于Debian来说不稳定

CentOS

某些版本的CentOS可以使用RedHat为RHEL提供的此脚本来测试服务器的漏洞。要尝试它，首先下载脚本。

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

然后使用bash运行它。

bash rh-cve-2016-5195_1.sh

如果你很脆弱，你会看到这样的输出：

Your kernel is 3.10.0-327.36.1.el7.x86_64 which IS vulnerable.
Red Hat recommends that you update your kernel. Alternatively, you can apply partial
mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .

修复漏洞

幸运的是，应用此修复程序非常简单：更新系统并重新启动服务器。

在Ubuntu和Debian上，使用apt-get来升级包。

sudo apt-get update && sudo apt-get dist-upgrade

您可以使用sudo yum update来更新CentOS 5,6和7上所有软件包，但如果您只想更新内核以解决此错误，请运行：

sudo yum update kernel

最后，在所有发行版上，您需要重新启动服务器才能应用更改。

sudo reboot

结论

确保更新Linux服务器以免受此权限升级错误的影响。

更多Linux教程请前往腾讯云+社区学习更多知识。

参考文献：《How To Protect Your Server Against the Dirty COW Linux Vulnerability》