web-dev-qa-db-fra.com

Qu'est-ce que le bogue "Dirty COW" et comment puis-je sécuriser mon système contre celui-ci?

Je viens tout juste d’entendre parler de ce bogue "Dirty COW" qui permet à tout utilisateur ayant un accès en lecture aux fichiers d’y écrire et d’obtenir un accès administrateur. Comment puis-je me protéger contre ce bug?

kernelsecurity
22
WinEunuuchs2Unix

L'ancienne bête sale

Ce bogue existe depuis la version 2.6.22 du noyau. Il permet à un utilisateur local disposant d'un accès en lecture d'obtenir des privilèges d'administrateur. Un avertissement a été émis ( Softpedia: Noyaux Linux 4.8.3, 4.7.9 et 4.4.26) afin de corriger la faille de sécurité "COW sale" ) et les utilisateurs sont priés de passer au noyau Linux Kernel 4.8 .3, noyau Linux 4.7.9 et noyau Linux 4.4.26 LTS. CE LIEN IS MAUVAISSEUR car ces versions du noyau ne sont pas prises en charge par Ubuntu.

Cette réponse est adaptée aux utilisateurs Ubuntu et vous indique:

  • Versions de noyau recommandées pour les utilisateurs Ubuntu
  • Comment afficher votre version actuelle du noyau
  • Comment appliquer un correctif pour les noyaux pris en charge par Ubuntu
  • Comment appliquer un correctif aux noyaux Ubuntu non pris en charge

Les utilisateurs d'Ubuntu "Dirty COW" ont recommandé des noyaux

Ubuntu a publié des mises à jour de sécurité le 20 octobre 2016 afin de corriger le noyau utilisé par toutes les versions prises en charge par Ubuntu: Softpedia: correctifs Canonical Ancient "Noyau du bogue" Sale COW "dans tous les systèmes d'exploitation Ubuntu pris en charge

Canonical demande à tous les utilisateurs de corriger immédiatement leurs systèmes en installant:

  • linux-image-4.8.0-26 (4.8.0-26.28) pour Ubuntu 16.10
  • linux-image-4.4.0-45 (4.4.0-45.66) pour Ubuntu 16.04 LTS
  • linux-image-3.13.0-100 (3.13.0-100.147) pour Ubuntu 14.04 LTS
  • linux-image-3.2.0-113 (3.2.0-113.155) pour Ubuntu 12.04 LTS
  • linux-image-4.4.0-1029-raspi2 (4.4.0-1029.36)

Le noyau Xenial HWE pour Ubuntu 14.04 LTS a également été mis à jour vers la version linux-image-4.4.0-45 (4.4.0-45.66 ~ 14.04.1) et le noyau Trusty HWE pour Ubuntu 12.04 LTS vers la version linux-image. -3.13.0-100 (3.13.0-100.147 ~ precise1).

Veuillez mettre à jour immédiatement vos installations Ubuntu en suivant les instructions fournies par Canonical à l'adresse suivante: https://wiki.ubuntu.com/Security/Upgrades .

Affiche votre version actuelle du noyau

Pour afficher votre version actuelle du noyau en cours d’utilisation, ouvrez le terminal avec Ctrl+Alt+T puis tapez:

uname -a

La version du noyau avec laquelle vous avez démarré est ensuite affichée comme suit:

Linux Dell 4.8.1-040801-generic #201610071031 SMP Fri Oct 7 14:34:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

N'oubliez pas qu'après l'installation du nouveau noyau avec les correctifs, vous pouvez toujours démarrer les anciennes versions du noyau depuis Grub. Le patch ne sera pas appliqué dans les versions antérieures, ce qui est le cas de la version 4.8.1 du noyau.

Une fois encore, rappelez-vous que la version 4.8.1 du noyau n’est pas prise en charge par Ubuntu.

Comment réparer les noyaux supportés par Ubuntu

Depuis que Ubuntu a publié le correctif du bogue, tout ce que les utilisateurs doivent faire est de mettre à niveau leur système. Si les mises à jour de sécurité quotidiennes sont activées, la mise à niveau du noyau a déjà été effectuée. Vérifiez la version de votre noyau avec la liste des noyaux ci-dessus.

Si Ubuntu n'a pas automatiquement mis à niveau votre version du noyau, exécutez:

Sudo apt-get update
Sudo apt-get dist-upgrade
Sudo reboot

Après le redémarrage, vérifiez votre version actuelle du noyau en répétant les instructions de la section précédente.

Comment réparer les noyaux Ubuntu non pris en charge

Certaines installations avec du matériel plus récent peuvent utiliser un noyau non pris en charge, tel que 4.8.1 ou supérieur. Si c'est le cas, vous devrez mettre à niveau manuellement le noyau. Bien que le lien de rapport de bogue ci-dessus indique que le noyau 4.8.3 est utilisé, au 30 octobre 2016, 4.8.5 était le plus récent et voici comment l'installer:

cd /tmp
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805_4.8.5-040805.201610280434_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805-generic_4.8.5-040805.201610280434_AMD64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-image-4.8.5-040805-generic_4.8.5-040805.201610280434_AMD64.deb
Sudo dpkg -i *.deb
Sudo reboot

Après le redémarrage, vérifiez votre version actuelle du noyau en répétant les instructions deux sections en arrière.

20
WinEunuuchs2Unix

Vous devez mettre à jour vos paquets en utilisant apt-get:

Sudo apt-get update && Sudo apt-get dist-upgrade

Aussi, vous pouvez activer le service Livepach :

Par coïncidence, juste avant la publication de la vulnérabilité, nous avons publié le service Canonical Livepatch pour Ubuntu 16.04 LTS. Les milliers d'utilisateurs qui ont activé canonical-livepatch sur leurs systèmes Ubuntu 16.04 LTS avec les premières heures ont reçu et appliqué le correctif à Dirty COW, automatiquement, en arrière-plan et sans redémarrage!

  1. Allez sur https://ubuntu.com/livepatch et récupérez votre jeton de livepatch. Installez le composant logiciel enfichable canonical-livepatch.

    $ Sudo snap install canonical-livepatch

  2. Activer le service avec votre token

    $ Sudo canonical-livepatch enable [TOKEN]

  3. vérifier l'état à tout moment en utilisant:

    statut canonique-livepatch --verbose

  4. Améliorer

    `$ Sudo apt install des mises à jour sans surveillance

  5. Les anciennes versions d'Ubuntu (ou des systèmes Ubuntu qui ont été mis à niveau vers 16.04) devront peut-être activer ce comportement à l'aide de:

    $ Sudo dpkg-reconfigure unattended-upgrades

`

1
GAD3R

Je ne suis pas du tout un expert, mais après avoir lu un mot sur la "sale vache", j'ai eu envie de vérifier si je vais bien après avoir terminé ma dernière mise à jour il y a quelques heures à peine.

Parmi les résultats de ma recherche par mot-clé, j'ai choisi cet article et cette discussion comme étant prometteurs. Maintenant, j’ai facilement réussi à vérifier l’état "corrigé en COW" de mon système Xenial Xerox en commençant par suivre les instructions de l’article ci-dessus pour Afficher la version actuelle du noyau (s’avère que c’est: linux-image-4.4.0.-45). Bien que uname -a ne détaille pas les correctifs, il affiche la version du noyau actuellement installée, ce qui m’a permis de suivre tilisateur 643722 suggestion - et avec succès:

apt list --installed | grep linux-image-4.4.0-45

Bien qu'une ligne supplémentaire inattendue ait été affichée ...

WARNING: apt does not have a stable CLI interface. 
Use with caution in scripts.

... les informations espérées suivaient à la ligne suivante:

linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 AMD64  [Installiert,automatisch]

Merci à tous - pour l'implémentation rapide des solutions dans les mises à jour par les contributeurs Linux/Ubuntu et la diffusion rapide des connaissances parmi les utilisateurs.

1
Ano Nyma