Acabo de enterarme de este error "Dirty COW" que permite que cualquier usuario con acceso de lectura a los archivos también les escriba y obtenga acceso administrativo. ¿Cómo me protejo contra este error?
Acabo de enterarme de este error "Dirty COW" que permite que cualquier usuario con acceso de lectura a los archivos también les escriba y obtenga acceso administrativo. ¿Cómo me protejo contra este error?
Respuestas:
Este error ha existido desde Kernel versión 2.6.22. Permite que un usuario local con acceso de lectura obtenga privilegios administrativos. Se ha emitido una advertencia ( Softpedia: Linux Kernels 4.8.3, 4.7.9 y 4.4.26 LTS para corregir la falla de seguridad "Dirty COW" ) y se insta a los usuarios a actualizar al Kernel Linux kernel 4.8.3, Linux kernel 4.7. 9 y kernel de Linux 4.4.26 LTS. ESTE ENLACE ES INCORRECTO porque estas versiones de Kernel no son compatibles con Ubuntu.
Esta respuesta está diseñada para usuarios de Ubuntu y te dice:
Ubuntu lanzó actualizaciones de seguridad el 20 de octubre de 2016 para parchear el Kernel utilizado por todas las versiones de Ubuntu compatibles: Softpedia: parches canónicos Antiguo error de kernel "Dirty COW" en todos los sistemas operativos Ubuntu compatibles
Canonical insta a todos los usuarios a parchear sus sistemas inmediatamente instalando:
El kernel Xenial HWE para Ubuntu 14.04 LTS también se actualizó a la versión linux-image-4.4.0-45 (4.4.0-45.66 ~ 14.04.1), y el kernel Trusty HWE para Ubuntu 12.04 LTS a la versión linux-image -3.13.0-100 (3.13.0-100.147 ~ preciso1).
Actualice sus instalaciones de Ubuntu de inmediato siguiendo las instrucciones proporcionadas por Canonical en: https://wiki.ubuntu.com/Security/Upgrades .
Para mostrar su versión actual de Kernel, abra el terminal con Ctrl+ Alt+ Ty luego escriba:
uname -a
La versión del kernel con la que arrancó se muestra así:
Linux dell 4.8.1-040801-generic #201610071031 SMP Fri Oct 7 14:34:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
Recuerde que después de instalar el nuevo núcleo con los parches, aún puede arrancar versiones anteriores del núcleo desde Grub. Las versiones anteriores no tendrán el parche aplicado, que es el caso de esta versión del kernel 4.8.1.
Una vez más, recuerde que la versión de kernel 4.8.1 no es compatible con Ubuntu.
Desde que Ubuntu lanzó la corrección del error, todo lo que los usuarios deben hacer es actualizar su sistema. Si las actualizaciones de seguridad diarias están habilitadas, la actualización del kernel ya se ha realizado. Verifique la versión de su núcleo en la lista de núcleos anterior.
Si Ubuntu no ha actualizado automáticamente la versión de su núcleo, ejecute:
sudo apt-get update
sudo apt-get dist-upgrade
sudo reboot
Después de reiniciar, verifique su versión actual del núcleo repitiendo las instrucciones de la sección anterior.
Algunas instalaciones con hardware más nuevo pueden estar usando un Kernel no compatible como 4.8.1
o mayor. Si es así, deberá actualizar manualmente el Kernel. Aunque el enlace del informe de error anterior dice usar Kernel 4.8.3
, al 30 de octubre de 2016, 4.8.5
es el más reciente y así es cómo instalarlo:
cd /tmp
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805_4.8.5-040805.201610280434_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-image-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
sudo dpkg -i *.deb
sudo reboot
Después de reiniciar, verifique la versión actual de su núcleo repitiendo las instrucciones de dos secciones.
apt list --installed | grep linux-image-4.4.0-45
- regresó linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64 [installed,automatic]
.
No soy un experto en absoluto, pero después de leer un poco sobre "Dirty COW", sentí que realmente quería comprobar si estoy bien después de completar mi actualización más reciente hace solo un par de horas.
De los resultados de mi búsqueda de palabras clave elegí este artículo y discusión como prometedor. Ahora, he logrado verificar fácilmente el estado "parcheado por COW" de mi sistema Xenial Xerox siguiendo primero las instrucciones del artículo anterior para mostrar su versión actual del kernel (resulta que es :) linux-image-4.4.0.-45
. Aunque uname -a
no detalla los parches, muestra la versión del kernel instalada actualmente, lo que me permitió seguir la sugerencia del usuario 643722, y con éxito:
apt list --installed | grep linux-image-4.4.0-45
Aunque se mostró una línea extra inesperada ...
WARNING: apt does not have a stable CLI interface.
Use with caution in scripts.
... la información esperada seguida en la siguiente línea:
linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64 [Installiert,automatisch]
Gracias a todos: por la rápida implementación de soluciones en actualizaciones por parte de los contribuyentes de Linux / Ubuntu, y la rápida difusión del conocimiento entre los usuarios.
apt-get
lugar de hacerlo apt
solo.
Necesita actualizar sus paquetes usando apt-get
:
sudo apt-get update && sudo apt-get dist-upgrade
También puede habilitar el servicio livepach :
Casualmente, justo antes de que se publicara la vulnerabilidad, lanzamos el servicio Canonical Livepatch para Ubuntu 16.04 LTS. ¡Los miles de usuarios que habilitaron canonical-livepatch en sus sistemas Ubuntu 16.04 LTS con esas primeras horas recibieron y aplicaron la solución a Dirty COW, automáticamente, en segundo plano y sin reiniciar!
Vaya a https://ubuntu.com/livepatch y recupere su token livepatch Instale el complemento canonical-livepatch
$ sudo snap install canonical-livepatch
Habilita el servicio con tu token
$ sudo canonical-livepatch enable [TOKEN]
verifique el estado en cualquier momento usando:
$ canonical-livepatch status --verbose
Mejorar
`$ sudo apt instalar actualizaciones desatendidas
Es posible que las versiones anteriores de Ubuntu (o los sistemas Ubuntu que se actualizaron a 16.04) necesiten habilitar este comportamiento usando:
$ sudo dpkg-reconfigure actualizaciones desatendidas
``
$ sudo snap install canonical-livepatch error: cannot install "canonical-livepatch": snap not found
¿Ayuda?