Räpased koduloomad serverites – Dirty COW

Hasso Tepper
Jaga:

Antud blogipostitus on 94 kuud vana ning ei pruugi olla enam ajakohane.

cow-147576_1280Eelmisel nädalal parandati esialgu suurema kärata Linuxi kernelis mäluhalduse viga, mis on suutnud seal 9 aastat märkamatuks jääda. Peagi selgus, et asi on oluliselt tõsisem kui paranduse tekstist arvata võis – viga kasutatakse pahatahtlike häkkerite poolt juba aktiivselt ära ning tõenäoliselt on seda tehtud juba pikemat aega. Probleem on niivõrd tõsine, et sundis teenusepakkujaid üle maailma erakorralisi hooldustöid ette võtma ning on teada ka juhtumeid, kus halvima ära hoidmiseks teenustel paranduse paigaldamiseni sõna otseses mõttes juhe seinast tõmmati. Ka Zone tehnikutel olid nädala lõpus käed tööd täis. Ning nagu tõsiste turvaprobleemide puhul tänapäeval tavaline, sai probleem oma veebilehe, logo ja nime – Dirty COW.

Miks selline paanika? Lühidalt saavad süsteemi tavakasutajad leitud viga ära kasutades kirjutada mälupiirkondadesse, kuhu kirjutamise õigust neil olla ei tohiks, ning sellisel moel oma õigusi süsteemis suurendada. Koos vea avalikustamisega käivitus ka võistlus koodikirjutajate vahel – kes suudab välja tulla lihtsama ning töökindalama meetodiga, kuidas anda tavakasutajale root kasutaja õigused ja seega täielikku kontrolli kogu süsteemi üle? Tänaseks on Internetis vabalt saada mitmeid koodijuppe, mis teevad seda nii hästi, et nende kasutamine pole mingi probleem ka kõige kogenematule pahalasele. Kui alguses levis ka info, kuidas süsteemi uuendamata enda süsteeme kaitsta, siis praegu levivate ründeprogrammide vastu on need kasutud. Ainuke toimiv kaitse on kerneli uuendamine.

K: Kes/mis on mõjutatud?
V: Kõik Linuxi süsteemid, mis kasutavad kerneli versiooni 2.6.22 või uuemat. Kuna 2.6.22 ilmus aastal 2007, siis võib põhimõtteliselt vist öelda – pea kõik maailmas leiduvad Linuxid, mida pole viimase nädala jooksul tahtmatult või tahtlikult uuendatud. Alloloevast nimekirjast leiad populaarsemate Linuxi distributsioonide kernelite versioonid, kus viga juba parandatud. Kui sinu süsteemis on kerneli versiooninumber (seda saad vaadata käsuga „uname -rv“) väiksem kui tabelis, on süsteem haavatav.

  • Ubuntu 16.10 – 4.8.0-26.28
  • Ubuntu 16.04 LTS – 4.4.0-45.66
  • Ubuntu 14.04 LTS – 3.13.0-100.147
  • Ubuntu 12.04 LTS – 3.2.0-113.155
  • Debian 8 – 3.16.36-1+deb8u2
  • Debian 7 – 3.2.82-1
  • RedHat/Centos 7 – 3.10.0-327.36.3

K: Mida ma teha saan?
V: Aitab ainult kerneli uuendamine. Kui su hallata on süsteemid, mis veel uuendamata, tee seda niipea kui võimalik.

K: OK, aga mida ma Zone kliendina tegema pean?
V: Kui kasutad meie tarkvaraplatvormiga serveriteenust (nagu Virtuaalserver või Nutikas Privaatserver) või Pilverserver VPS-i, kannab uuendamise eest hoolt Zone. Küll aga pead sa ise muret tundma ja tegutsema, kui oled Privaatserveri või Pilveserver Pro SSD kasutaja.

K: Kui mu süsteemis shelli kasutajaid pole, pole probleemi?
V: Probleem on ikka, lihtsalt natuke keerulisem ära kasutada. Interneti pimedamates nurkades on juba levimas ka valmiskomplektid stiilis “WordPressi turvaveaga tavakasutajaks + räpase lehmaga root kasutajaks”. Kui su Linux on Internetiga ühendatud, on selle turvalisus ohus.

Viited

https://dirtycow.ninja/
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html
https://security-tracker.debian.org/tracker/CVE-2016-5195
https://access.redhat.com/security/vulnerabilities/2706661

Populaarsed postitused

.COM domeen kallineb ka tänavu

Jaanus Putting
Ehkki oleme kolm viimast suve siinsamas blogis kirjutanud, et .com domeeni hinnatõusule saabub 2024. aastal paus, on selle tippdomeeni register otsustanud...

Pilveservereid saab nüüd jagada ja kustutada

Ingmar Aasoja
Läinud kuul sai põhjaliku uuenduse Minu Zone halduspaneel, mis hõlmas vastavalt klientide tagasisidele näiteks ka uusi funktsionaalsusi pilveserverite...

Kuidas alustada composer.phar kasutamist

Ingmar Aasoja
Veel mõnda aega tagasi ei olnud PHP jaoks ühtset moodust teekide paigaldamiseks. Olenevalt raamistikust olid lahendused erinevad. See muutus koos Composer'i...

"Pilve pole olemas. On lihtsalt kellegi teise arvuti."

Ardi Jürgens
Mis ikkagi on pilveteenus, kuidas see keerukas süsteem töötab ning kuidas me tulime mõne nädala eest toime ühe jõudlust pärssinud ootamatusega....