该漏洞CVE-2017-9525存在于 Ubnuntu Bionic 的 cron 包中,
https://people.canonical.com/~ubuntu-security/cve/pkg/cron.html
我们想在我们的服务器中修复它,但是没有针对此特定版本的 Cron 的补丁。此发行版的最新 cron 版本是3.0pl1-128.1ubuntu1,据报道存在漏洞,CVE-2017-9525如下所示:https://packages.ubuntu.com/bionic/cron
为了符合规定,我们需要修复此漏洞。我们已经尝试从cron最新的 Ubuntu 发行版下载 deb 包并安装它们,但不幸的是 Ubuntu 18 不支持这些包。
有没有办法cron在 Ubuntu 18 中升级并修复此漏洞?
答案1
事实上,有一个补丁对于此漏洞:它附加到https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=864466
如果任何 Ubuntu 用户想要将补丁应用到 16.04 或 18.04,进行测试,然后向 Ubuntu 安全团队报告他们的测试结果,我们对 Ubuntu 的真正贡献将受到欢迎。
对于那些不想自己打补丁的人来说,也不升级到非易受攻击的版本,Ubuntu 安全团队已对此进行了分类,并认为这是一个低优先级错误为了有几个很好的理由。
看来该漏洞只能被触发当 cron 通过 apt 升级时攻击者已经是 crontab 组的成员(通常没有人是)。
- 信息:该
cron软件包在 14.04、16.04 和 18.04 中均未收到任何发布后更新。此漏洞的机会窗口非常有限 - 每 6 个月一次(或每两年一次)。
这意味着您可以通过多种方式降低风险,同时其他社区成员可以测试和反向移植该补丁:
以下是一个例子:
您可以
apt-mark hold cron,因此它不会在未观察到的情况下更新。该漏洞是安装后脚本的一部分,该脚本仅在软件包cron更新时运行(或者如果您出于某种原因重新安装 cron)。在 Ubuntu 的默认安装中,该组中没有任何人。您可以在释放 apt-hold 并更新 cron 之前
crontab检查 /etc/groups 以查找该组中是否有任何意外成员,并将其删除。crontab该漏洞利用了悬空符号链接来欺骗内核。您可以在升级 cron 之前检查 $crondir/crontabs 中的悬空符号链接。同样,使用普通的旧版本很容易发现
ls -la,只需片刻即可删除。
向新用户指出这一点也很重要,入侵者或恶意软件已经获得了 crontab 组的访问权限已经危害了你的系统,无论它们是否扎根。