Pertanyaan Apa bug "Kotor SAP", dan bagaimana saya bisa mengamankan sistem saya terhadapnya?


Saya baru saja mendengar tentang bug "Kotor COW" yang memungkinkan pengguna dengan akses baca ke file untuk juga menulis kepada mereka dan mendapatkan akses administratif. Bagaimana saya melindungi terhadap bug ini?


22
2017-10-21 03:35


asal




Jawaban:


Kutu SAPI Kotor Kuno

Bug ini telah ada sejak Kernel versi 2.6.22. Ini memungkinkan pengguna lokal dengan akses baca untuk mendapatkan hak administratif. Peringatan telah dikeluarkan (Softpedia: Linux Kernel 4.8.3, 4.7.9 & 4.4.26 LTS ke Patch "Kotor SAPI" Keamanan Cacat) dan pengguna diminta untuk meng-upgrade ke kernel Kernel Linux 4.8.3, kernel Linux 4.7.9, dan kernel Linux 4.4.26 LTS. LINK INI IS MISLEADING karena versi Kernel ini tidak didukung oleh Ubuntu.

Jawaban ini disesuaikan untuk pengguna Ubuntu dan memberi tahu Anda:

  • Versi Kernel yang Disarankan untuk pengguna Ubuntu
  • Cara menampilkan Versi Kernel Anda saat ini
  • Cara menerapkan perbaikan untuk Kernel Ubuntu yang Didukung
  • Cara menerapkan perbaikan untuk Kernel Ubuntu yang Tidak Didukung

Pengguna Ubuntu "Kotor SAPI" direkomendasikan Kernel

Ubuntu merilis pembaruan keamanan pada 20 Oktober 2016 untuk menambal Kernel yang digunakan oleh semua versi Ubuntu yang didukung: Softpedia: Patch Canonical Bug Kernel Kuno "Kotor Kotor" di Semua OS Ubuntu yang Didukung

Canonical mendesak semua pengguna untuk menambal sistem mereka segera dengan menginstal:

  • linux-image-4.8.0-26 (4.8.0-26.28) untuk Ubuntu 16.10
  • linux-image-4.4.0-45 (4.4.0-45.66) untuk Ubuntu 16.04 LTS
  • linux-image-3.13.0-100 (3.13.0-100.147) untuk Ubuntu 14.04 LTS
  • linux-image-3.2.0-113 (3.2.0-113.155) untuk Ubuntu 12.04 LTS
  • linux-image-4.4.0-1029-raspi2 (4.4.0-1029.36)

Kernel Xenial HWE untuk Ubuntu 14.04 LTS juga diperbarui, ke versi linux-image-4.4.0-45 (4.4.0-45.66 ~ 14.04.1), dan kernel HWE yang tepercaya untuk Ubuntu 12.04 LTS ke versi linux-image -3.13.0-100 (3.13.0-100.147 ~ tepat1).

Perbarui segera instalasi Ubuntu Anda dengan mengikuti petunjuk yang diberikan oleh Canonical di: https://wiki.ubuntu.com/Security/Upgrades .

Tampilkan Versi Kernel Anda saat ini

Untuk menampilkan versi Kernel yang sedang berjalan, buka terminal dengan Ctrl+Alt+T lalu ketikkan:

uname -a

Versi kernel Anda boot dengan kemudian ditampilkan seperti ini:

Linux dell 4.8.1-040801-generic #201610071031 SMP Fri Oct 7 14:34:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

Ingat setelah Anda menginstal kernel baru dengan tambalan, Anda masih bisa mem-boot versi kernel lama dari Grub. Versi yang lebih lama tidak akan menerapkan tambalan, yang merupakan kasus versi kernel ini 4.8.1.

Sekali lagi ingat versi kernel 4.8.1 tidak didukung oleh Ubuntu.

Cara memperbaiki untuk Kernels yang didukung Ubuntu

Karena Ubuntu telah merilis perbaikan bug, Semua pengguna harus lakukan adalah meng-upgrade sistem mereka. Jika pembaruan keamanan harian diaktifkan, upgrade kernel telah dilakukan. Periksa versi kernel Anda ke daftar kernel di atas.

Jika Ubuntu belum secara otomatis meningkatkan versi kernel Anda, jalankan:

sudo apt-get update
sudo apt-get dist-upgrade
sudo reboot

Setelah reboot periksa versi kernel Anda saat ini dengan mengulangi instruksi bagian sebelumnya.

Cara memperbaiki untuk Kernel Ubuntu yang tidak didukung

Beberapa instalasi dengan perangkat keras yang lebih baru mungkin menggunakan Kernel yang tidak didukung seperti 4.8.1 atau lebih besar. Jika demikian Anda perlu secara manual meningkatkan Kernel. Meskipun tautan laporan bug di atas mengatakan untuk menggunakan Kernel 4.8.3, Pada 30 Oktober 2016, 4.8.5 adalah yang terbaru dan ini adalah cara memasangnya:

cd /tmp
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805_4.8.5-040805.201610280434_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-image-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
sudo dpkg -i *.deb
sudo reboot

Setelah reboot periksa versi kernel Anda saat ini dengan mengulangi instruksi dua bagian kembali.


20
2017-10-21 03:35



Alih-alih "tautan ini menyesatkan", yang tampaknya kata yang terlalu kuat bagi saya, saya akan mengatakan sesuatu di sepanjang baris "petunjuk tersebut tidak berlaku untuk pengguna Ubuntu". - fkraiem
@ WinEunuuchs2Unix Saya akan menyarankan "Tautan ini, apa adanya, menyesatkan, karena versi kernel yang disebutkan tidak didukung oleh Ubuntu." Juga tidak yakin mengapa Anda berani berkencan di mana-mana? - Thomas Ward♦
Setelah Ubuntu 16.04 LTS, saya menemukan bahwa perintah ini menunjukkan bahwa semuanya bagus: apt list --installed | grep linux-image-4.4.0-45 - Itu kembali linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64 [installed,automatic]. - user643722


Saya bukan ahli sama sekali, tetapi setelah membaca tentang "Kotor Kotor" sedikit, saya merasa saya benar-benar ingin memeriksa apakah saya baik-baik saja setelah menyelesaikan pembaruan terbaru saya hanya beberapa jam yang lalu.

Dari hasil pencarian kata kunci saya, saya memilih artikel & diskusi ini sebagai terdengar menjanjikan. Sekarang, saya dengan mudah berhasil memverifikasi status "COW-patched" dari sistem Xenial Xenial saya dengan terlebih dahulu mengikuti instruksi artikel di atas untuk Tampilkan Versi Kernel Anda saat ini (ternyata, itu: linux-image-4.4.0.-45). Meskipun uname -a tidak detail patch, itu ditampilkan versi kernel yang terinstal, yang memungkinkan saya untuk mengikuti pengguna 643722 ini saran - dan berhasil jadi:

apt list --installed | grep linux-image-4.4.0-45

Meskipun garis tambahan tak terduga ditampilkan ...

WARNING: apt does not have a stable CLI interface. 
Use with caution in scripts.

... informasi yang diharapkan diikuti di baris berikutnya:

linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64  [Installiert,automatisch]

Terima kasih kepada semua - untuk implementasi solusi yang cepat ke pembaruan oleh kontributor Linux / Ubuntu, dan penyebaran pengetahuan yang cepat di antara para pengguna.


1
2017-10-23 00:58



Peringatan itu hilang jika Anda menggunakan apt-get dari pada apt dengan sendirinya. - WinEunuuchs2Unix
Terima kasih, @ WinEunuuchs2Unix. Saya belajar setiap hari, setiap saat ... - Ano Nyma


Anda perlu meng-upgrade paket Anda menggunakan apt-get:

sudo apt-get update && sudo apt-get dist-upgrade

Anda juga dapat mengaktifkan layanan livepach :

Kebetulan, tepat sebelum kerentanan dipublikasikan, kami merilis Layanan Livepatch Canonical untuk Ubuntu 16.04 LTS. Ribuan pengguna yang mengaktifkan canonical-livepatch pada sistem LTS 16.04 Ubuntu mereka dengan beberapa jam pertama diterima dan menerapkan perbaikan ke Kotor SAPI, secara otomatis, di latar belakang, dan tanpa me-reboot!

  1. Pergi ke https://ubuntu.com/livepatch dan mengambil token livepatch Anda   Instal snap canonical-livepatch

    $ sudo snap install canonical-livepatch

  2. Aktifkan layanan dengan token Anda

    $ sudo canonical-livepatch enable [TOKEN]

  3. periksa status kapan saja menggunakan:

    $ canonical-livepatch status --verbose

  4. Meningkatkan

    `$ sudo apt install tanpa pengawasan-upgrade

  5. Versi lama dari Ubuntu (atau sistem Ubuntu yang ditingkatkan ke 16.04) mungkin perlu mengaktifkan perilaku ini menggunakan:

    $ sudo dpkg-konfigurasi ulang tanpa pengawasan-upgrade

`


1
2017-11-16 11:55



Kata-kata Anda membuatnya terdengar seperti Anda bekerja untuk Canonical, jika demikian terima kasih atas informasi orang dalam :) - WinEunuuchs2Unix
@ WinEunuuchs2Unix hanya pengguna Linux Newbie :) - GAD3R
Oh, terimakasih untuk jawaban Anda. Saya khawatir Anda harus hidup dengan komentar salah tentang menjadi karyawan Canonical selama 11 jam sampai saya pulang dan dapat menghapusnya dari komputer saya. - WinEunuuchs2Unix
$ sudo snap install canonical-livepatch error: cannot install "canonical-livepatch": snap not found Membantu? - Hershey Gamer