Kritická zranitelnost v jádře Linuxu

A máme tu další díru v jádře velkou jako vrata, umožňuje získat rootovská práva neprivilegovaným uživatelům. Naštěstí tato zranitelnost postihuje jen systémy s určitým nastavením a příslušnou hrozbu lze zvrátit změnou parametru mmap_min_addr na nenulovou hodnotu.

Správcům serverů doporučuji provést rychlou kontrolu:

sysctl vm.mmap_min_addr

Pokud tento příkaz vrátí nenulovou hodnotu, pak na vás příslušné exploity nezafungují. Pokud vrátí nulu, zvyšte hodnotu ručně:

sysctl -w vm.mmap_min_addr="4096"

A následně zapište příslušné nastavení do konfiguráků, aby restart tuto hodnotu nevrátil zpět na nulu. Dlužno dodat, že některé programy mohou mít s tímto nastavením problémy (standardní serverový software však nejspíše žádný problém mít nebude – s výjimkou starší verze Qemu, který nepůjde spustit jinak než jako root). U desktopů může být problém s aplikacemi typu Dosbox (opět bez roota nepůjde spustit).

P.S. Z data publikace příspěvku nic neusuzujte – je chybné.

Zdroje:

Příspěvek byl publikován v rubrice Bezpečnost, GNU/Linux a jeho autorem je Shadow. Můžete si jeho odkaz uložit mezi své oblíbené záložky nebo ho sdílet s přáteli.