Dirty COW - súlyos, privilégiumszint-emelést (helyi root) lehetővé tevő sebezhetőség a Linux kernelben

Bug

Dirty Cow

Egy Copy-On-Write-tal (COW) kapcsolatos race condition sebezhetőséget (CVE-2016-5195) fedeztek fel a Linux kernel memória alrendszerében. Helyi felhasználó kihasználva a sebezhetőséget privilégiumszint-emelést hajthat végre. A mai divatnak megfelelően a sebezhetőségnek van logója, honlapja, Twitter accountja, Wiki oldala és online webáruháza is. Az Ars Technica cikke szerint 9 éve bujkált a bug a Linux kernelverziókban.

Fedora 23, 24, 25-re is le lettek fordítva a javított kernelek. Most várom, hogy ez megtörténjék a LEDE project esetében is.

Szerk.: Már kijött LEDE-re is a legfrissebb, 4.4.26-os kernel, amelyben javították ezt a bugot. Megy is fel a routeremre.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Hunger | 2016. 10. 21., p – 08:15 )

Dirty COW Laptop Computer Bag
$17,100.00

:-o

( szegecs | 2016. 10. 21., p – 10:25 )

"How can Linux be fixed?"

Mit tenne "Bomber" Harris?

A jó hír az, hogy akik a stabil kernelt (2.4) használják, azokat nem érinti. A többi meg hadd szívjon.

( mrceeka v | 2016. 10. 21., p – 09:30 )

Vajon WSL-re is lesz hotfix?
Anno legalábbis vicces volt, amikor a többek közt a Nachi féreg által is kihasznált RPC-DCOM sebezhetőségre OpenVMS patch is jött ki. :)

Üdv,
Marci

( b | 2016. 10. 21., p – 10:02 )

huh ott van a kommentekben, hogy még az androidok is érintettek. Ejj ez kemény cucc lesz. Ez most egy betli volt.

--
GPLv3-as hozzászólás.

Az általad linkel oldalon a "References" részt ajánlom figyelmedbe:

References
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195
http://www.ubuntu.com/usn/usn-3107-1
http://www.ubuntu.com/usn/usn-3106-4
http://www.ubuntu.com/usn/usn-3106-3
http://www.ubuntu.com/usn/usn-3106-2
http://www.ubuntu.com/usn/usn-3106-1
http://www.ubuntu.com/usn/usn-3105-2
http://www.ubuntu.com/usn/usn-3105-1
http://www.ubuntu.com/usn/usn-3104-1

Az egyes USN-eken belül az Update instructions részt:

Update instructions

The problem can be corrected by updating your system to the following package version:

Ubuntu 16.10:
linux-image-4.8.0-26-powerpc64-emb 4.8.0-26.28
linux-image-4.8.0-26-generic 4.8.0-26.28
linux-image-4.8.0-26-generic-lpae 4.8.0-26.28
linux-image-4.8.0-26-lowlatency 4.8.0-26.28
linux-image-4.8.0-26-powerpc-smp 4.8.0-26.28
linux-image-4.8.0-26-powerpc-e500mc 4.8.0-26.28

Szerintem ebből egyértelműen kiderül a kérdéseidre az összes válasz.

--
trey @ gépház

( csortu v | 2016. 10. 22., szo – 12:37 )

Tegnap a linode-os linux szerverekhez is megjött a friss, javított kernel, rebootot kértek.
--
Csaba

( mrev | 2016. 10. 22., szo – 16:59 )

Maga a hiba nem érdekel különösebben, de a hírről eszembe jutott, hogy upgrade-eljem az Ubuntumat. Az apt-get 4.4.0-38-ról akart volna upgrade-elni 4.4.0-45-re, azonban elakadt valami dependency probléma miatt, és akarhány update/upgrade után sem jutott ezen túl.

A jelenség előfordult már nálam korábban is, és emlékeztem, hogy attól szűnt meg, hogy telepítettem valami teljesen irreveláns dolgot. Nosza, most is ezzel próbálkoztam , elővettem a synapticot, hogy keressek valami ártalmatlan csomagot, végül feltettem a joe-t, és csodák csodájára megoldódott a dependency probléma is. Arra azért kiváncsi volnék, hogy ez egy Debian feature, vagy a Canonical fejlesztések gyümölcse.

--
ulysses.co.hu

Minden valamirevaló - úgy értem, nagyobbacska, komolyabb - kód bugos. Az a nem mindegy, hogy javítják-e, amikor kiderül a baj, vagy sem. Mellesleg talán vagy 2 napja van 4.8.3-as kernel, mire nézem a kernel.org-ot, vanillában már létezik 4.8.4-es, benne egy rakás ext4-et érintő javítással. A router-emen a LEDE-t tegnap frissítettem 4.4.26-os kernelre, erre vanillában van már 4.4.27-es. Nem tudom a pontos okát, de mostanában gyakran fedeztek fel és javítottak súlyos hibákat, 2-3 naponta jött ki friss kernel a stabil ágba, a még támogatott előzőbe és a longterm-be is.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ezt tegnap én is néztem. Arra jutottunk kollégával, hogy valszin a 4.4.26 és társai voltak soronkívüliek a CoW miatt és a 4.4.27 és társai a normál bugfixes kiadás. Minden esetre a kötelező azonnali és mindenekfelett álló jelenlegi Windows frissítési gyakorlat se biztos hogy jó, viszont úgy látszik még advanced juzernek se mindíg adható oda a döntés... :)