Блог KernelCare - серьезная уязвимость: обнаружена проблема безопасности Stack Clash, которая затрагивает большинство ядер Linux
Блог KernelCare

Основная уязвимость: обнаружена проблема безопасности Stack Clash, которая влияет на большинство ядер Linux

Основная уязвимость: обнаружена проблема безопасности Stack Clash, которая влияет на большинство ядер Linux

[Последнее обновление: Jun 22, 12: 05PM PDT]

Новая уязвимость уязвимости привилегий на локальных привилегиях в ядре Linux была раскрыта вчера, июнь 19th, 2017 (CVE-2017-1000364). Уязвимость может быть использована, чтобы позволить непривилегированному локальному пользователю получить root-доступ к серверу.

Безопасность Qualys показывает практические способы обхода механизма защиты эксплойтов, известного как «страница защиты стека». Недостаток был обнаружен в способе выделения памяти в стек для двоичных файлов пользовательского пространства. Если кучи (или другая область памяти) и области памяти стека смежны друг с другом, злоумышленник может использовать этот недостаток, чтобы перепрыгнуть через страницу защиты стека, вызывая повреждение контролируемой памяти в стеке процессов или в соседней области памяти, тем самым увеличивая их привилегии в системе. Чтобы узнать больше о уязвимости страницы защиты стека, посетить этот пост.

Эта уязвимость затрагивает большинство ядер. Команда KernelCare, как всегда, срочно работает над выпуском исправлений, причем некоторые дистрибутивы оперативно покрываются до конца сегодняшнего дня (вторник, июнь 20th, 2017) и вскоре после этого (мы будем обновлять график выпуска ниже). Основные дистрибутивы Linux выпустили обновления ядра с исправлением, требующим перезагрузки. Однако, если вы запустите KernelCare , вы можете публиковать свои серверы и защищать себя от критических уязвимостей, включая этот, без каких-либо простоев.

Когда вы устанавливаете KernelCare, оплачиваемый или Пробная версия, он мгновенно обновит ваши ядра с помощью всех патчей. Он устанавливается с одной строкой кода всего за несколько минут, без перезагрузки, и это гарантирует, что вы никогда не пропустите еще один патч безопасности ядра, поскольку они будут автоматически установлены на ваше живое ядро ​​в будущем.

Если вы хотите обновить свои ядра сразу после выпуска исправления, вы можете получить KernelCare для бесплатно для 30 дней здесь, Чтобы узнать больше о KernelCare, посетите эту страницу.

Временная шкала для выпусков исправлений для KernelCare:

CloudLinux OS 7 - Июнь 21, 2017
CloudLinux OS 6 Hybrid - июнь 21, 2017
CloudLinux OS 6 - Июнь 22, 2017
RHEL 7 - Июнь 21, 2017
RHEL 6 - Июнь 22, 2017
CentOS 7 Plus - июнь 21, 2017
Proxmox VE 3.10 - Июнь 21, 2017
Proxmox VE 2.6 - Июнь 22, 2017
Proxmox VE 4.x - Июнь 22, 2017
Ядра Ubuntu 3.13, 4.4 и 4.8 - июнь 21, 2017
CentOS 7 - Июнь 21, 2017
CentOS 6 - Июнь 22, 2017
Debian 8 - Июнь 21, 2017
Debian 7 - Июнь 22, 2017
CentOS 6 Plus - июнь 22, 2017
Virtuozzo / OpenVZ 2.6.32 - Июнь 22, 2017
CentOS 6 Alt - будет выпущен
CentOS 7 Alt - будет выпущен


Если у вас есть KernelCare, он автоматически обновит ваши ядра с этими исправлениями без перезагрузки.

KernelCare поддерживает большинство популярных дистрибутивов Linux. Нажмите здесь, чтобы просмотреть полный список.

Бета-версия: Imunify360 2.3-9 выпущена
Официальная печать поставщика Elastic Sites здесь!

Комментарии 14

Здравствуйте,

Где мы узнаем, когда патч станет доступен?
Спасибо

Привет, Где мы узнаем, когда патч станет доступен? благодаря

Да, мы будем уведомлять, как это влияет на производство.
Мы просто нажали CL7 / CL6Hybrid патчи для тестирования. Если кто-то может протестировать, запустив:
kcarectl --update - test

Это поможет нам быстрее высвободиться. Он уже провел тесты для часов 6, но мы хотим, чтобы у меня было мало протестированных ящиков, поскольку мы работаем над очень плотным графиком с этим.

Да, мы будем уведомлять, как это влияет на производство. Мы просто нажали CL7 / CL6Hybrid патчи для тестирования. Если кто-то может протестировать, запустив: kcarectl --update --test Это поможет нам быстрее высвободиться. Он уже провел тесты для часов 6, но мы хотим, чтобы у меня было мало протестированных ящиков, поскольку мы работаем над очень плотным графиком с этим.

Так есть ли временная шкала для более старых версий, таких как CentOS 5 и RHEL 5 ??

Так есть ли временная шкала для более старых версий, таких как CentOS 5 и RHEL 5 ??

CentOS5 - EOL, и новые патчи не будут добавлены.

CentOS5 - EOL, и новые патчи не будут добавлены.

# kcarectl --uname
2.6.32-673.26.1.lve1.4.27.el6
# kcarectl --update --test
Ядро безопасно
# kcarectl --uname
2.6.32-673.26.1.lve1.4.27.el6

Все еще ждет 2.6.32-673.26.1.lve1.4.29.el6

# kcarectl --uname 2.6.32-673.26.1.lve1.4.27.el6 # kcarectl --update --test Ядро безопасно # kcarectl --uname 2.6.32-673.26.1.lve1.4.27.el6 Все еще ждет 2.6.32-673.26.1.lve1.4. [b] 29 [/ Ь] .el6

Обновление похоже на CL7, но все еще ничего для CL6.
Когда ETA для CL6?

Обновление похоже на CL7, но все еще ничего для CL6. Когда ETA для CL6?

CL7 / CL6hybrid отсутствует
CL6 следует добавить в 6-8 часы

CL7 / CL6hybrid вне CL6 следует добавить в 6-8 часов

Привет, любой ETA в версиях Ubuntu / Debian?

Привет, любой ETA в версиях Ubuntu / Debian?

Некоторые версии Ubuntu были обновлены. Еще не все.

Некоторые версии Ubuntu были обновлены. Еще не все.

Патч CL6 KerncalCare доступен сейчас, если нет, пожалуйста, укажите ETA?

Патч CL6 KerncalCare доступен сейчас, если нет, пожалуйста, укажите ETA?
Уже зарегистрирован? ВОЙТИ
гость
Вторник, 19 ноября 2019

Защитный код изображение