Räpased koduloomad serverites – Dirty COW

Hasso Tepper
Jaga:

Antud blogipostitus on 88 kuud vana ning ei pruugi olla enam ajakohane.

cow-147576_1280Eelmisel nädalal parandati esialgu suurema kärata Linuxi kernelis mäluhalduse viga, mis on suutnud seal 9 aastat märkamatuks jääda. Peagi selgus, et asi on oluliselt tõsisem kui paranduse tekstist arvata võis – viga kasutatakse pahatahtlike häkkerite poolt juba aktiivselt ära ning tõenäoliselt on seda tehtud juba pikemat aega. Probleem on niivõrd tõsine, et sundis teenusepakkujaid üle maailma erakorralisi hooldustöid ette võtma ning on teada ka juhtumeid, kus halvima ära hoidmiseks teenustel paranduse paigaldamiseni sõna otseses mõttes juhe seinast tõmmati. Ka Zone tehnikutel olid nädala lõpus käed tööd täis. Ning nagu tõsiste turvaprobleemide puhul tänapäeval tavaline, sai probleem oma veebilehe, logo ja nime – Dirty COW.

Miks selline paanika? Lühidalt saavad süsteemi tavakasutajad leitud viga ära kasutades kirjutada mälupiirkondadesse, kuhu kirjutamise õigust neil olla ei tohiks, ning sellisel moel oma õigusi süsteemis suurendada. Koos vea avalikustamisega käivitus ka võistlus koodikirjutajate vahel – kes suudab välja tulla lihtsama ning töökindalama meetodiga, kuidas anda tavakasutajale root kasutaja õigused ja seega täielikku kontrolli kogu süsteemi üle? Tänaseks on Internetis vabalt saada mitmeid koodijuppe, mis teevad seda nii hästi, et nende kasutamine pole mingi probleem ka kõige kogenematule pahalasele. Kui alguses levis ka info, kuidas süsteemi uuendamata enda süsteeme kaitsta, siis praegu levivate ründeprogrammide vastu on need kasutud. Ainuke toimiv kaitse on kerneli uuendamine.

K: Kes/mis on mõjutatud?
V: Kõik Linuxi süsteemid, mis kasutavad kerneli versiooni 2.6.22 või uuemat. Kuna 2.6.22 ilmus aastal 2007, siis võib põhimõtteliselt vist öelda – pea kõik maailmas leiduvad Linuxid, mida pole viimase nädala jooksul tahtmatult või tahtlikult uuendatud. Alloloevast nimekirjast leiad populaarsemate Linuxi distributsioonide kernelite versioonid, kus viga juba parandatud. Kui sinu süsteemis on kerneli versiooninumber (seda saad vaadata käsuga „uname -rv“) väiksem kui tabelis, on süsteem haavatav.

  • Ubuntu 16.10 – 4.8.0-26.28
  • Ubuntu 16.04 LTS – 4.4.0-45.66
  • Ubuntu 14.04 LTS – 3.13.0-100.147
  • Ubuntu 12.04 LTS – 3.2.0-113.155
  • Debian 8 – 3.16.36-1+deb8u2
  • Debian 7 – 3.2.82-1
  • RedHat/Centos 7 – 3.10.0-327.36.3

K: Mida ma teha saan?
V: Aitab ainult kerneli uuendamine. Kui su hallata on süsteemid, mis veel uuendamata, tee seda niipea kui võimalik.

K: OK, aga mida ma Zone kliendina tegema pean?
V: Kui kasutad meie tarkvaraplatvormiga serveriteenust (nagu Virtuaalserver või Nutikas Privaatserver) või Pilverserver VPS-i, kannab uuendamise eest hoolt Zone. Küll aga pead sa ise muret tundma ja tegutsema, kui oled Privaatserveri või Pilveserver Pro SSD kasutaja.

K: Kui mu süsteemis shelli kasutajaid pole, pole probleemi?
V: Probleem on ikka, lihtsalt natuke keerulisem ära kasutada. Interneti pimedamates nurkades on juba levimas ka valmiskomplektid stiilis “WordPressi turvaveaga tavakasutajaks + räpase lehmaga root kasutajaks”. Kui su Linux on Internetiga ühendatud, on selle turvalisus ohus.

Viited

https://dirtycow.ninja/
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html
https://security-tracker.debian.org/tracker/CVE-2016-5195
https://access.redhat.com/security/vulnerabilities/2706661

Populaarsed postitused

Hallatud või halduseta platvorm: kumb vastab paremini sinu vajadustele?

Martin Kirs
ZoneOS platvorm on meie hallatavate teenuste alustala, sisaldades endas justkui mitme IT-spetsialisti pädevusi. Kuidas see platvorm on nii "nutikas" ja...

Zone Veebiakadeemia - lihtsad tööriistad kodulehega alustamiseks

blogi
Zone Veebiakadeemia uue hooaja värskeimas osas räägib Zone arendustiimi juht Ingmar kasulikest tööriistadest, mis aitavad sul hõlpsalt ja arusaadavalt...

Partner soovitab: Kodulehe hooldus ehk kuidas kaitsta seda küberrünnakute eest

MarketingSharks
Veebiarenduse maailmas on WordPress vaieldamatult üks kõige populaarsemaid sisuhaldussüsteeme.

Tegime pilveserveri halduse veel paremaks

Ingmar Aasoja
Ehkki meie uue pilveserveriplatvormi lansseerimisest on möödunud kõigest paar kuud, oleme viimastel nädalatel pühendunud uue pilveserveri platvormi...