방금 파일에 대한 읽기 액세스 권한을 가진 모든 사용자가 파일에 쓰고 관리 액세스 권한을 얻는이 버그 "Dirty COW"에 대해 들었습니다. 이 버그로부터 어떻게 보호합니까?
방금 파일에 대한 읽기 액세스 권한을 가진 모든 사용자가 파일에 쓰고 관리 액세스 권한을 얻는이 버그 "Dirty COW"에 대해 들었습니다. 이 버그로부터 어떻게 보호합니까?
답변:
이 버그는 커널 버전 2.6.22 이후에있었습니다. 읽기 권한이있는 로컬 사용자가 관리 권한을 얻을 수 있습니다. 경고 ( Softpedia : Linux Kernels 4.8.3, 4.7.9 & 4.4.26 LTS Out to Patch "Dirty COW"Security Flaw )가 발생했으며 사용자는 Kernel Linux 커널 4.8.3, Linux 커널 4.7로 업그레이드해야합니다. 9, Linux 커널 4.4.26 LTS. 이 커널 버전은 Ubuntu에서 지원하지 않기 때문에이 링크가 잘못 되었습니다.
이 답변은 우분투 사용자를 위해 만들어졌으며 다음과 같이 알려줍니다.
Ubuntu는 2016 년 10 월 20 일에 지원되는 모든 Ubuntu 버전에서 사용하는 커널을 패치하기 위해 보안 업데이트를 릴리스했습니다. Softpedia : 정식 패치 지원되는 모든 Ubuntu OS의 고대 "더러운 COW"커널 버그
Canonical은 모든 사용자에게 다음을 설치하여 즉시 시스템을 패치하도록 촉구합니다.
Ubuntu 14.04 LTS 용 Xenial HWE 커널은 linux-image-4.4.0-45 (4.4.0-45.66 ~ 14.04.1) 버전으로 업데이트되었으며 Ubuntu 12.04 LTS 용 Trusty HWE 커널은 linux-image 버전으로 업데이트되었습니다. -3.13.0-100 (3.13.0-100.147 ~ 정확도 1).
https://wiki.ubuntu.com/Security/Upgrades 에서 Canonical이 제공 한 지침에 따라 Ubuntu 설치를 즉시 업데이트하십시오 .
현재 실행중인 커널 버전을 표시하려면 Ctrl+ Alt+로 터미널을 열고 T다음을 입력하십시오.
uname -a
부팅 한 커널 버전 은 다음과 같이 표시됩니다 :
Linux dell 4.8.1-040801-generic #201610071031 SMP Fri Oct 7 14:34:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
패치와 함께 새 커널을 설치 한 후에도 Grub에서 이전 커널 버전을 부팅 할 수 있습니다. 이전 버전에는 패치가 적용되지 않습니다.이 커널 버전 4.8.1의 경우입니다.
커널 버전 4.8.1은 Ubuntu에서 지원하지 않습니다.
우분투는 버그 수정을 발표했기 때문에 모든 사용자는 시스템을 업그레이드하기 만하면됩니다. 매일 보안 업데이트가 활성화되면 커널 업그레이드가 이미 완료된 것입니다. 커널 버전을 위의 커널 목록에서 확인하십시오.
Ubuntu가 커널 버전을 자동으로 업그레이드하지 않은 경우 다음을 실행하십시오.
sudo apt-get update
sudo apt-get dist-upgrade
sudo reboot
다시 부팅 한 후 이전 섹션 지침을 반복하여 현재 커널 버전을 확인하십시오.
최신 하드웨어를 사용하는 일부 설치에서는 지원되지 않는 커널 (예 : 4.8.1이상)을 사용하고있을 수 있습니다 . 그렇다면 커널을 수동으로 업그레이드해야합니다. 위의 버그 보고서 링크에 Kernel을 사용한다고 표시되어 있지만 4.8.32016 년 10 월 30 일 현재 4.8.5최신 버전이며 설치 방법입니다.
cd /tmp
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805_4.8.5-040805.201610280434_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-image-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
sudo dpkg -i *.deb
sudo reboot
재부팅 후 두 섹션의 지침을 반복하여 현재 커널 버전을 확인하십시오.
apt list --installed | grep linux-image-4.4.0-45습니다 linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64 [installed,automatic].
나는 전혀 전문가가 아니지만 "더티 코우 (Dirty COW)"를 조금 읽은 후, 몇 시간 전에 가장 최근 업데이트를 완료 한 후 괜찮은지 확인하고 싶었다.
키워드 검색 결과에서 나는이 기사와 토론을 유망한 유망한 것으로 선택했습니다. 지금, 나는 쉽게 첫번째하기 위 기사의 지시에 따라 내 주객 관계의 제록스 시스템의 "COW 패치"상태를 확인하기 위해 관리가 현재 커널 버전 표시를 (그것의, 밝혀 : linux-image-4.4.0.-45). 비록 uname -a그것은 나를 따라 허용되는 현재 설치된 커널 버전, 표시되지 상세 패치를 수행 사용자 643,722의 제안을 - 그리고 성공적으로 그렇게 :
apt list --installed | grep linux-image-4.4.0-45
예기치 않은 추가 라인이 표시되었지만 ...
WARNING: apt does not have a stable CLI interface.
Use with caution in scripts.
... 희망하는 정보는 다음 줄에서 따랐습니다.
linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64 [Installiert,automatisch]
Linux / Ubuntu 기고자들이 업데이트에 솔루션을 신속하게 구현하고 사용자들 사이에 지식을 빠르게 확산시켜 준 덕분입니다.
apt-get하지 않으면 경고가 사라 apt집니다.
다음을 사용하여 패키지를 업그레이드해야합니다 apt-get.
sudo apt-get update && sudo apt-get dist-upgrade
또한 livepach 서비스를 활성화 할 수 있습니다 :
우연히도 취약점이 게시되기 직전에 Ubuntu 16.04 LTS 용 Canonical Livepatch 서비스를 릴리스했습니다. 처음 몇 시간 동안 Ubuntu 16.04 LTS 시스템에서 canonical-livepatch를 활성화 한 수천 명의 사용자가 백그라운드에서 재부팅없이 자동으로 Dirty COW에 수정 사항을 적용했습니다!
https://ubuntu.com/livepatch로 이동 하여 라이브 패치 토큰 검색 canonical-livepatch 스냅 설치
$ sudo snap install canonical-livepatch토큰으로 서비스 활성화
$ sudo 표준 라이브 패치 활성화 [TOKEN]
다음을 사용하여 언제든지 상태를 확인하십시오.
$ 표준 라이브 패치 상태-상세
업그레이드
`$ sudo apt 무인 업그레이드 설치
이전 버전의 Ubuntu (또는 16.04로 업그레이드 한 Ubuntu 시스템)는 다음을 사용하여이 동작을 활성화해야합니다.
$ sudo dpkg- 무인 업그레이드 재구성
`
$ sudo snap install canonical-livepatch error: cannot install "canonical-livepatch": snap not found도움?