「Dirty Cow」Linux 内核本地提权漏洞（CVE-2016-5195）

漏洞危害描述

对于所有的 Linux 系统，黑客通过远程入侵获取到服务器上低权限用户的 shell 后，可以借助此漏洞实现本地提权，从而获取服务器的 root 权限。

漏洞影响范围

1. Linux Kernel >= 2.6.22 的所有 Linux 系统

   意味着从 2007 年发布 2.6.22 版本开始，直到2016年10月18日为止，这中间发行的所有 Linux 系统都受影响。

   我们建议您使用以下方式自查是否存在此漏洞：

   • 使用uname –a查看 Linux 系统的内核版本，如：

     Linux AYxxxx 2.6.32-431.23.3.el6.x86_64 #1 SMP Thu Jul 31 17:20:51 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

     上述内核版本2.6.32-431.23.3.el6.x86_64受漏洞影响。

     Linux AYxxxx 2.6.18-308.el5 #1 SMP Tue Feb 21 20:06:06 EST 2012 x86_64 x86_64 x86_64 GNU/Linux

     上述内核版本2.6.18-308.el5不受漏洞影响。

2. 阿里云安全团队在第一时间针对 ECS 提供的 Linux 操作系统镜像进行测试，详细的受影响范围如下表：

   

3. 1. POC，是 Proof of Concept 的缩写，意思是为观点提供证据。漏洞报告中的 POC 则是一段说明或者一个攻击的样例，能够确认这个漏洞是真实存在的。如果 POC 执行成功，则该漏洞确实存在并可利用；如果不成功，则代表该漏洞暂时无法被利用，但仍可能存在相关安全风险。

   漏洞修复方案

   因为涉及到操作系统内核的升级，我们强烈建议您：正确关闭正在运行的服务，并做好数据备份工作。同时创建服务器磁盘快照，避免修复失败造成不可逆的影响。

   1. Ubuntu 系列操作系统

      • Ubuntu 系统必须在/etc/apt/sources.list中开启–security后缀的源地址才能收到更新。由于各镜像更新软件包存在一定的延迟（一般为数小时），为了及时得到更新，建议从官方源获取安全更新，地址如下：

        • Ubuntu 12.04 LTS (precise)

          deb http://security.ubuntu.com/ubuntu/ precise-security main

        • Ubuntu 14.04 LTS (trusty)

          deb http://security.ubuntu.com/ubuntu/ trusty-security main

      • 更新包列表：

        1. sudo apt-get update

      • 安装所有可用更新，包括新内核：

        1. sudo apt-get dist-upgrade

      • 重启机器

   2. Debian 系列操作系统

      • Debian 系统必须在/etc/apt/sources.list中开启内核升级对应的源地址才能收到更新。由于各镜像更新软件包存在一定的延迟（一般为数小时），为了及时得到更新，建议从官方源获取安全更新，地址如下：

        • Debian 6 (wheezy)

          deb http://security.debian.org/ wheezy/updates main

        • Debian 7 (jessie)

          deb http://security.debian.org/ jessie/updates main

        • Debian 8 (sid)

          deb http://security.debian.org/ sid/updates main

      • 更新包列表：

        1. sudo apt-get update

      • 安装所有可用更新，包括新内核：

        1. sudo apt-get dist-upgrade

      • 重启机器

   3. SUSE Linux Enterprise Server 系列操作系统（仅限购买SLES企业服务用户）

      • 安装所有可用更新，包括新内核：

        1. zypper refresh && zypper update kernel-default

      • 重启机器

   4. Open SUSE 系列操作系统

      • 安装所有可用更新，包括新内核：

        1. zypper refresh && zypper update kernel-default

      • 重启机器

   5. CoreOS 系列操作系统

      • 安装所有可用更新，包括新内核：

        1. update_engine_client -update

      • 重启机器

   6. 对于其余系列的操作系统，Linux 官方正在研发漏洞对应的系统补丁。待补丁发布后，将系统更新到最新版本即可修复漏洞。

   7. 开发人员可以通过 git 分支获取修复代码，自行编译进行修复。https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/？id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619