重大安全事件 | Ubuntu 16.04.4 暴本地提权漏洞

漏洞简介

Twitter 上 Nikolenko 发推表示 Ubuntu 最新版本存在一个本地提权漏洞,攻击者通过该漏洞可以直接获取 root 权限。该漏洞(CVE-2017-16995)早在老版本中已经完成修复,但是在 Ubuntu 16.04 版本中依旧可以被利用。

影响范围

目前已知范围:

Ubuntu 16.04
Linux Kernel Version 4.14-4.4 (主要影响 Debian 和 Ubuntu 发行版,Redhat 和 CentOS 不受影响。)

漏洞复现

POC 下载链接:https://www.hackersb.cn/usr/uploads/2018/03/1930063493.zip

修复方案

风险临时缓解方案

Ubuntu 官网暂时没有提供修复方案,建议用户在评估风险后通过修改内核参数限制普通用户使用 bpf(2) 系统调用来临时修复此漏洞。

$ echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled

Ubuntu 官方补丁更新请及时关注漏洞公告:https://usn.ubuntu.com/

彻底根治方案

目前阿里云 xenial-proposed 源已提供补丁修复此漏洞,具体方法如下:

首先添加 xenial-proposed 软件源:

1. 公网网络环境下添加以下软件源
$ echo “deb //mirrors.aliyun.com/ubuntu/ xenial-proposed main restricted universe multiverse” >> /etc/apt/sources.list

2. 阿里云经典网络环境下添加以下软件源
$ echo “deb //mirrors.aliyuncs.com/ubuntu/ xenial-proposed main restricted universe multiverse” >> /etc/apt/sources.list

3. 阿里云VPC网络环境下添加以下软件源
$ echo “deb //mirrors.cloud.aliyuncs.com/ubuntu/ xenial-proposed main restricted universe multiverse” >> /etc/apt/sources.list

其次执行以下命令更新内核:
$ apt update && apt install linux-image-generic

最后重启机器:
$ reboot

重启完成后,使用 uname -r 检测内核是否更新,如果内核版本为 4.4.0-117 即修复成功。

参考文档

//www.google.com
//t.cn/RnL8uPM
//t.cn/RnyjN39
https://www.hackersb.cn/linux/244.html

网友评论comments

发表评论

电子邮件地址不会被公开。 必填项已用*标注

暂无评论

Copyright ? 2012-2017 www.vjxu0.cn - 运维派 - 粤ICP备14090526号-3
扫二维码
扫二维码
返回顶部
  • 太原35397名考生参加中考体测 2019-06-21
  • 让榜样的力量永恒传承 2019-06-21
  • 谈具体的吧,别装模作样了。客观事实与观察事实、科学事实有什么不同? 2019-05-14
  • 民航援助西藏机场群建设项目启动 2019-05-14
  • 腰痛分四型 对照一下你是哪一种? 2019-05-11
  • 曾祖父、曾祖母、祖父、祖母、父亲、母亲、重孙。一家7人,如果两家联姻,两家共十四人,请问:“看着就想笑”你那15人是咋算出来的? 2019-05-11
  • 光是一个梨子的滋味就改变了方向,说讲事实摆道理,就是要你按他的指挥棒转,属于忽悠网友的口实 2019-05-05
  • 全国首列“研学旅行专列”兰州启程 2019-05-05
  • 台东鹿野返乡青年“阿山哥”的农夫梦 2019-05-02
  • 大力弘扬革命传统传承红色基因 持续深化作风建设造福老区人民 2019-04-26
  • 青杠坡镇:“春耕齐忙”贫困户脱贫有门路 2019-04-09
  • 客观事实及其规律是一切理论的基础,任何理论都是客观事实及其规律的反映,它们只有符合客观事实及其规律才是正确的,否则便是错误的。 2019-03-30
  • vivo韩伯啸:息屏下屏幕指纹解锁无压力 2019-03-19
  • 全国妇联新时代“巾帼志愿者暖心故事” 网络展播揭晓仪式 2019-03-01
  • 呼伦贝尔大草原,我们来啦! 2019-03-01
  • 天津十一选五预测号码 29期特码玄机图 体彩官方网站 双色球秦皇岛大奖 千禧3d试机号分析汇总 幸运武林河南福彩网 江苏7位数72开奖结果 内蒙古时时彩开奖结果l 七星彩走势图综合版最近200期 2019山东时时彩诈骗案 qq欢乐升级多人游戏机 天津快乐十分开奖走试图 排列三走势图淘宝彩票 快乐飞艇是官方网吗 天津十一选五号码推荐