Informações, Novidades e Empregos em Tecnologia e Concursos Públicos em TI

Como Corrigir e Proteger seu Sistema Linux da Vulnerabilidade 0-day CVE-2016-0728

cve_2016_0728

Um problema de segurança muito grave foi encontrado no kernel do Linux ontem (19/01/2015). A vulnerabilidade de elevação de privilégio local do tipo 0-day existe desde 2012. Este bug afeta milhões de aplicações Android ou Linux e permite elevação de privilégios, ou seja um usuário comum com permissões mais restritivas poderão ter permissões de root sem a necessidade da senha. Qualquer servidor ou desktop (32 ou 64 bits) com o Kernel do Linux nas versões 3.8 ou superior é vulnerável.
Detalhes da vulnerabilidade podem ser obtidas no post original dos pesquisadores que encontraram a vulnerabilidade: http://perception-point.io/2016/01/14/analysis-and-exploitation-of-a-linux-kernel-vulnerability-cve-2016-0728/

Lista de distribuições Linux afetadas

Minha distribuição é afetada pela vulnerabilidae CVE-2016-0728?

Resposta:

Algumas das principais distros afetadas são:

  1. Red Hat Enterprise Linux 7
  2. CentOS Linux 7
  3. Scientific Linux 7
  4. Debian Linux stable 8.x (jessie)
  5. Debian Linux testing 9.x (stretch)
  6. SUSE Linux Enterprise Desktop 12
  7. SUSE Linux Enterprise Desktop 12 SP1
  8. SUSE Linux Enterprise Server 12
  9. SUSE Linux Enterprise Server 12 SP1
  10. SUSE Linux Enterprise Workstation Extension 12
  11. SUSE Linux Enterprise Workstation Extension 12 SP1
  12. Ubuntu Linux 14.04 LTS (Trusty Tahr)
  13. Ubuntu Linux 15.04 (Vivid Vervet)
  14. Ubuntu Linux 15.10 (Wily Werewolf)
  15. Opensuse Linux LEAP 42.x and version 13.x
  16. Oracle Linux 7
  17. Fedora 23
  18. Linux Mint 17.3

Como posso corrigir a vulnerabilidade VCE-2016-0728 em meu Linux?

Resposta:

Primeiro valide se a versão do kernel de sua distribuição se encontra na lista de vulnerável com um dos comandos abaixo:

$ uname -mrs
$ uname -r
$ uname -a

Se a versão do kernel na saída do comando for 3.8 ou superior, sua distribuição está afetada e deverá ser atualizada.

Para realizar a atualização em distros Ubuntu e derivados, Debian e derivados, utilize o seguinte comando (atenção, o servidor será reiniciado com o comando reboot, portando só execute em janelas de manutenção com plano de recuperação definido caso seja um servidor de produção):

$ sudo apt-get update && sudo apt-get upgrade && sudo apt-get dist-upgrade
$ sudo reboot

Para distros Red Hat Like e derivados (RHEL, CentOS, Oracle Linux, Fedora e etc.):

$ wget

https://gist.githubusercontent.com/PerceptionPointTeam/18b1e86d1c0f8531ff8f/raw/5a90e6f98de85f35708087620de73bed3bf16880/cve_2016_0728.c

e compile com o seguinte (caso o gcc ou o keyutils-libs-devel não esteja instalado, utilize seu gerenciador de pacotes para faze-lo):

$ gcc cve_2016_0728.c -o cve_2016_0728 -lkeyutils -Wall

será gerado entao o arquivo do parametro output “cve_2016_0728” que deverá ser executado com parametro, conforme exemplo abaixo:

$ ./cve_2016_0728 PP_KEY

O exploit completo do kernel leva bastante tempo para ser executado, em meu laboratório com um I3 levou 50min e com um I7 levou 30min em média.

Algumas Perguntas e Respostas a respeito da vulnerabilidade é obtida no site da Red Hat que incluem:

P. Sites na Internet mencionam que o exploit podem ser evitados com o comando:

$ echo1 >/proc/sys/kernel/keys/maxkeys

R. Esse limite só se aplica as chaves criadas por usuários, e não as chaves criadas pelo root. Cada usuário recebe uma sessão de chaveiro pam (como root) quando se conecta. Até agora não existe nenhum work around.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s