【Linux】CentOS 【RHEL Clone】Part.3

 

69: login:Penguin 2016/10/27(木) 21:36:04.78 ID:nA2pYGRH

前回カーネルアプデしたら勝手に起動オプション書き換えられたんだけどそういうもの?
【2chまとめ】人生成功を加速させるニュースまとめ 管理人サッスーの補足
管理人サッスーの補足

ここで言っている起動オプションは、カーネルパラメータのことかな?
ネットでいろいろ調べると、呼び方も統一していない。「カーネルパラメータ」、「起動オプション」、 「引数」とか。
カーネルアップデートで「起動オプション」が書き換わったということなので、カーネルパラメータが書き換わったということを言っている可能性が高い?
RedHatより引用:https://access.redhat.com/

 

 

 

70: login:Penguin 2016/10/27(木) 21:46:02.84 ID:l5M9gCp4

Linuxカーネルに脆弱性「Dirty COW」発覚、管理者権限を取得される恐れ

悪用は比較的容易とされ、この問題を悪用した攻撃が既に出回っているという。
しかし攻撃を受けたとしてもログに痕跡が残らないことから検出は難しい。
http://www.itmedia.co.jp/enterprise/articles/1610/24/news044.html

 

71: login:Penguin 2016/10/27(木) 22:17:44.17 ID:cm3NbRMm
5用のセキュリティアップデートまだ出てないし

 

72: login:Penguin 2016/10/28(金) 04:52:17.60 ID:sYbEwcfa
>>71
なんかsystemtapっていうの作って我慢してって赤帽さんが書いているね今のところ

 

73: login:Penguin 2016/10/28(金) 05:14:07.34 ID:ENEqPKWt

 

 

 

75: login:Penguin 2016/11/11(金) 20:11:03.86 ID:A8t4ti83

Dirty COWの脆弱性の対応はどれぐらい緊急なのか。

メールサーバを運用しているのだが、一般ユーザのShellの実行は
封じてあるから、一般ユーザアカウントでログインされて、
管理者IDが奪取されたり、システムファイルが書き換わる可能性が考えられん。

 

76: login:Penguin 2016/11/12(土) 00:09:33.18 ID:ZASbp2Es
Understanding and mitigating the Dirty Cow Vulnerability
https://access.redhat.com/blogs/766093/posts/2757141
【2chまとめ】人生成功を加速させるニュースまとめ 管理人サッスーの補足
管理人サッスーの補足

Google翻訳
 
汚れた牛の脆弱性を理解し緩和する

匿名2016年11月9日午後2時30分、最終更新日2016年2月48日
Rodrigo Freire&David Sirrine – Red Hatテクニカルアカウント管理チーム

Dirty Cow(CVE-2016-5195)はRed Hat Enterprise Linuxに影響を与える、最新のブランド脆弱性で、名前、ロゴ、およびWebサイトがあります。

この欠陥は広範な脆弱性であり、Red Hat Enterprise Linuxバージョン5,6,7に及んでいます。
この脆弱性に関する技術的な詳細と対応方法は、カーネルローカル権限昇格「Dirty COW」(CVE-2016-5195)を参照してください。

成功するためには、攻撃者は既にこの脆弱性を利用する前にサーバーにアクセスする必要があります。

Dirty Cowは、Linuxカーネルのメモリサブシステムがプライベートリードオンリメモリマッピングのコピーオンライト(COW)切断を処理する方法で競合状態を作り出します。
この競合状態により、特権を持たないローカルユーザーが読み取り専用メモリマッピングへの書き込みアクセスを取得し、システムに対する権限を増やすことができます。

コピー・オン・ライトは、システムが修正の対象となるリソースを効率的に複製またはコピーすることを可能にする技術である。

リソースがコピーされていても変更されていない場合は、新しいリソースを作成する必要はありません。
コピーと元の間でリソースを共有することができます。
変更の場合、新しいリソースが作成されます。

現在、この問題に対処する最新のカーネルがありますが、影響を受けるシステムの数が数千から数千にも及ぶ大規模なデータセンターでは、影響を受けるすべてのシステムを更新するための適切な保守ウィンドウを見つけることができないシステムを再起動するためにはダウンタイムが必要です。

RHEL7.2以上のシステムでは、kpatchを使用してこの問題を修正するためにライブパッチを適用できます。
このRed Hatの利点を活用するには、サポートケースを提出し、カーネルのバージョンを知らせて、適切なkpatchをリクエストしてください。
kpatchの詳細については、RHEL 7でライブカーネルパッチ(kpatch)をサポートしていますか?

RHEL 5および6は影響を受けますが、kpatchはサポートされていません。

幸運なことに、SystemTapを使用してこの脆弱性に対する緊急の解決策があります。
SystemTapスクリプトは、再起動の必要なしに、システムの実行中にパッチを適用します。
これは、脆弱なシステムコールを傍受することによって行われます。
これにより、システムが侵害されずに期待どおりに動作することができます。
 
警告:このSystemTapソリューションは、システム内で実行されているウイルススキャナを潜在的に損なう可能性があります。
ウイルス対策ベンダーに確認してください。
 
SystemTapスクリプトは比較的小さく効率的で、次のように4つの異なるセクションに分かれています。
 ~中略~ 
最後に、 “probe begin”と “probe end”コードブロックは、systemtapにprintk関数を介してカーネルログバッファに与えられたテキストを追加するよう指示します。
これにより、軽減がロードおよびアンロードされたときにシステムログに正確に登録することによって、監査証跡が作成されます。
このソリューションは、影響を受けるすべてのRHELバージョン(5,6,7)で動作します。
Red Hatは、攻撃を無効にするための緩和策と、欠陥を処理するための実際のパッチを常に提供しています。
SystemTapの詳細、Red Hatシステムの管理にどのように使用できるかについては、SystemTapの使用、または当社のカスタマーポータル内のビデオに関するビデオを参照してください。
SystemTapソリューションの使用方法や使用可能なパッチへのリンクの詳細については、関連するRed Hat Vulnerability Responseの記事の「Resolve」タブを参照してください。
 

 

 

 

 
 
77: login:Penguin 2016/11/13(日) 07:33:53.92 ID:7+jvl2yo
SOPHOSブログ
Linux カーネルのバグ:ルート権限への昇格を可能にする
セキュリティホール「DirtyCOW」とその対策について
http://sophos-insight.jp/blog/20161102

 

【2chまとめ】人生成功を加速させるニュースまとめ 管理人サッスーの補足
管理人サッスーの補足

いろいろネットサーフィンをしてみたが、このDirtyCOWは、リモートから侵入されるという脆弱性ではなくて、すでにサーバーにログインしている一般ユーザーがroot権限を奪取できるという脆弱性のようだ。

 

 

 

78: login:Penguin 2016/11/14(月) 15:58:25.58 ID:hW1tXqe0

そろそろCentOS5も寿命なわけですが、
仮想ゲストで動かしているので、ハードの
寿命はまだまだ先のサーバーを数台
持っています。

来年からどうするか頭が痛いところですが、
CentOSの寿命を伸ばす方法は何かないでしょうか。

 

81: login:Penguin 2016/11/14(月) 18:11:41.06 ID:Ub9MkzyF
>>78
手を動かすか金を積む以外に何があると言うんだね?

 

91: login:Penguin 2016/11/15(火) 07:19:45.35 ID:tq2keH+T
>>81
目をつぶる

 

83: login:Penguin 2016/11/14(月) 19:42:06.35 ID:/LNn+EwO
>>78
あえて赤帽サポート切れてからCeotOSにするってのが醍醐味じゃないの?

 

コメントを残す

メールアドレスが公開されることはありません。