오늘 아침에 이 취약점을 발견했습니다. CVE-2016-5195CentOS 커널을 어떻게 패치합니까? 사용 가능한 패치가 있나요?
답변1
RedHat(CentOS 업스트림 공급업체)을 기다리는 중업데이트 게시, CentOS는 업데이트를 CentOS 업데이트 저장소로 포팅하므로 평소처럼 간단하게 패치를 적용할 수 있습니다 yum update.
DirtyCOW는 그다지 무섭지 않습니다. 이를 위해서는 공격자가 이미 시스템에 대한 일종의 셸 액세스 권한을 갖고 있어야 합니다.
RedHat이 평가했습니다.CVSSv3 점수 7.8/10즉, 일반적인 월별 패치 주기 외에는 패치를 적용하지 않을 것임을 의미합니다. 더 중요한 것은 적어도 한 달에 한 번씩 정기적으로 시스템을 패치하는 것입니다.이러한 취약점은 드문 일이 아닙니다.
고쳐 쓰다:CentOS에 대한 수정 사항이 릴리스되었습니다.(@Roflo님, 감사합니다!) 를 실행하면 yum update패치된 커널로 시스템이 업데이트됩니다.
답변2
아직 댓글을 달 수 없습니다...
사용 가능한 패치가 있습니다: https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619
CentOS에 패치된 커널이 있는지 확인하십시오. 그렇지 않은 경우 Linux를 직접 컴파일할 위험이 있는지 결정하거나 아무도 시스템에서 임의의 코드를 실행하여 실제로 사용할 수 없기를 바랍니다.저것무언가를 하는 것을 활용하십시오.
답변3
커널 업그레이드를 기다려야 합니다.
16:17(GMT -3) 현재 수정 사항이 포함된 패키지가 릴리스되지 않았습니다.
[root@centos7 ~]# yum upgrade
Loaded plugins: fastestmirror
base | 3.6 kB 00:00:00
extras | 3.4 kB 00:00:00
updates | 3.4 kB 00:00:00
Loading mirror speeds from cached hostfile
* base: centos.ar.host-engine.com
* epel: archive.linux.duke.edu
* extras: centos.ar.host-engine.com
* updates: centos.ar.host-engine.com
No packages marked for update
[root@centos7 ~]# rpm -q --changelog kernel | grep -i CVE-2016-5195
[root@centos7 ~]# uname -a
Linux centos7.tbl.com.br 3.10.0-327.36.2.el7.x86_64 #1 SMP Mon Oct 10 23:08:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
CentOS6에도 동일하게 적용됩니다.
해결책이 있습니다이 질문의 경우 , 를 사용하면 systemtap활성화된 커널을 사용하는 경우에만 작동하는 것 같습니다 debuginfo.
타이 박사: 커널 업그레이드를 기다리는 중입니다. 다른 배포판에서는 이미 패치를 적용했습니다.
답변4
이제 yum 업데이트를 통해 커널을 3.10.0-327.36.3으로 업그레이드할 수 있습니다. 여기에서도 볼 수 있습니다.http://mirror.centos.org/centos-7/7.2.1511/updates/x86_64/Packages/