Блог CloudLinux - KernelCare, Dirty Cow, systemtap и CentOS / RHEL / CL 5 - Важно !!!

KernelCare, Dirty Cow, systemtap и CentOS / RHEL / CL 5 - Важно !!!

Сценарии systemtap, рекомендованные RedHat https://bugzilla.redhat.com/show_bug.cgi?id=1384344#c13 и многие другие люди в качестве обходного пути против CVE-2016-5195 (он же DirtyCow) могут оказаться неэффективными против новых вариантов атаки, таких как этот:

https://github.com/dirtycow/dirtycow.github.io/blob/master/pokemon.c

[исправление, октябрь 22, 7: 04am: этот конкретный эксплойт использует ptrace, и наша команда ядра исправила меня, что до сих пор сценарий systemtap, который рекомендует Redhat, защищает от всех известных потенциальных векторов атаки]

Более того, мы знаем, что в некоторых редких ситуациях он может конфликтовать с KernelCare и разбивать сервер.
Чтобы устранить эти несчастные случаи, мы готовим автоматическое обнаружение системы / kprobe, которое будет испечено в патче. Это было уже в наших патчах CentOS / CL6.
Мы находимся в 24 часах, чтобы сделать это стабильным.

Мы понимаем, что вам нужна защита сейчас. Итак, в ближайшие несколько часов мы выпустим наши патчи без защиты systemtap / kprobe в тестовый репозиторий.

ЕСЛИ ВЫ НЕ НУЖДАЕТЕ СЕЙЧАС, ТОЛЬКО ЖДИТЕ, И ВЫ БУДЕТЕ БЕЗОПАСНО И АВТОМАТИЧЕСКИ ОБНОВЛЕНО В течение 24 ЧАСОВ


Чтобы получить эти исправления:
Если вы установили скрипт systemtap для DirtyCow, удалите / выгрузите его.
После этого запуска:
$ echo "PREFIX = test" >> /etc/sysconfig/kcare/kcare.conf

После этого KernelCare начнет принимать обновления из тестового репозитория.

Это ручной процесс, специально предназначенный для того, чтобы у людей со сценарием systemtap была возможность удалить эти сценарии и избежать сбоев.
В будущем вам нужно будет удалить тестовую строку PREFIX = из kcare.conf
и в течение часов 24 мы опубликуем новые патчи, которые автоматически обнаружат скрипт systemtap.

Бета-версия: выпущено новое ядро ​​CL7
Beta: обновлен Alt-PHP

Комментарии

Нет комментариев на форуме. Будьте первым, чтобы оставить свой комментарий
Уже зарегистрирован? ВОЙТИ
гость
Четверг, 21 ноября 2019

Защитный код изображение