今天早上我们发现了这个漏洞CVE-2016-5195
我们如何修补 CentOS 内核?有可用的补丁吗?
答案1
等待RedHat(CentOS上游供应商)发布更新,然后 CentOS 会将该更新移植到 CentOS 更新存储库,这样您就可以像平常一样简单地修补yum update
。
DirtyCOW 并不那么可怕。它要求攻击者已经具有某种方式的 shell 访问您的系统的权限。
RedHat 已将其评为CVSSv3 得分为 7.8/10,这意味着我不会在正常的每月补丁周期之外修补它。更重要的是,您至少每月定期修补系统,因为此类漏洞并不罕见。
更新:CentOS 已发布修复程序(谢谢,@Roflo!)。运行 ayum update
应该可以使用修补后的内核更新您的系统。
答案2
还不能发表评论...
检查 CentOS 是否有修补过的内核,如果没有:决定是冒险自己编译 Linux,还是希望没有人能够在您的系统上执行任意代码并实际使用那利用做某事。
答案3
您必须等待内核升级:
截至 16:17(GMT -3),没有发布包含修复程序的软件包:
[root@centos7 ~]# yum upgrade
Loaded plugins: fastestmirror
base | 3.6 kB 00:00:00
extras | 3.4 kB 00:00:00
updates | 3.4 kB 00:00:00
Loading mirror speeds from cached hostfile
* base: centos.ar.host-engine.com
* epel: archive.linux.duke.edu
* extras: centos.ar.host-engine.com
* updates: centos.ar.host-engine.com
No packages marked for update
[root@centos7 ~]# rpm -q --changelog kernel | grep -i CVE-2016-5195
[root@centos7 ~]# uname -a
Linux centos7.tbl.com.br 3.10.0-327.36.2.el7.x86_64 #1 SMP Mon Oct 10 23:08:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
CentOS6 也同样适用。
有一个解决方法对于这个问题,使用systemtap
,但如果您使用启用的内核,似乎才有效debuginfo
。
太,博士:等待内核升级。其他发行版已经应用了该补丁。
答案4
现在可以通过 yum update 将内核升级到 3.10.0-327.36.3,您也可以在此处查看它http://mirror.centos.org/centos-7/7.2.1511/updates/x86_64/Packages/