我在运行 Ubuntu 的 EC2 实例上运行了 AWS Inspector16.04(内核 4.16.0),发现了一些问题,即使采取了必要的措施后,我还是无法修复这些问题。
错误如下:
描述:Linux 内核 4.11 之前的版本中 block/blk-cgroup.c 中的 blkcg_init_queue 函数允许本地用户通过触发创建失败来造成拒绝服务(双重释放)或可能产生未指定的其他影响。
推荐:使用操作系统的更新功能更新软件包 linux-image-4.4.0-124-generic-0:4.4.0-124.148。有关更多信息,请参阅https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7480
描述:在 Debian 上通过 3.0pl1-128 版本的 cron 包中,以及在 Ubuntu 上通过 3.0pl1-128ubuntu2 版本的 cron 包中,postinst 维护者脚本允许通过符号链接攻击将组 crontab 权限提升到 root 权限,以防止对 chown 和 chmod 程序的不安全使用。
推荐:使用操作系统的更新功能来更新软件包 cron-0:3.0pl1-128ubuntu2。有关更多信息,请参阅https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9525
描述:zlib 1.2.8 中的 inffast.c 可能允许上下文相关的攻击者利用不正确的指针算法造成未指定的影响。
推荐:使用操作系统的更新功能更新软件包 zlib1g-1:1.2.8.dfsg-2ubuntu4.1、zlib1g-dev-1:1.2.8.dfsg-2ubuntu4.1。有关更多信息,请参阅https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9841
尝试了内核 4.14 和 4.15,但无济于事。安装了所需的库,也无济于事。
我该如何修复它?
答案1
升级内核应该可以工作,但是你必须注意,它查看所有已安装的内核,而不仅仅是正在运行的内核。
我运气不错:
AWS-RunShellScript—
#!/bin/bash
package-cleanup --oldkernels --count=1 -y || purge-old-kernels --keep 1 -qy
cron 的可能补救措施:通过 debian 包升级。
dpkg -i http://http.us.debian.org/debian/pool/main/c/cron/cron_3.0pl1-130_amd64.deb
dpkg -i http://http.us.debian.org/debian/pool/main/z/zlib/zlib1g_1.2.11.dfsg-1_amd64.deb
这对另一个我被困住的软件包(man-db)不起作用,它...最终产生了一个依赖关系的兔子洞......所以我现在正在考虑升级到 18.04LTS(它仍然没有修复 cron,但其他一切似乎都很好)。