近日收到 Linux 内核权限提升漏洞(CVE-2022-0847)
需要对对相关资源进行升级
发布时间 2022-03-08
更新时间 2022-03-08
漏洞等级 High
CVE编号 CVE-2022-0847
漏洞描述
CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。
影响范围
5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102
解决方案
更新升级 Linux 内核到以下安全版本:
Linux 内核 >= 5.16.11
Linux 内核 >= 5.15.25
Linux 内核 >= 5.10.102
参考资料
https://dirtypipe.cm4all.com/
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9d2231c5d74e13b2a0546fee6737ee4446017903
准备工作
确认系统版本
cat /etc/redhat-release
确认内核版本
uname -srm
一 将ELRepo 库 添加到系统上:
centos 8
sudo dnf -y install https://www.elrepo.org/elrepo-release-8.el8.elrepo.noarch.rpm
centos 7
sudo yum -y install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm
查看是否安装库成功:
cat /etc/yum.repos.d/elrepo.repo
二 导入签名的密钥
centos 7或8 同样执行一下命令
sudo rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
*DNF 并未默认安装在 RHEL 或 CentOS 7系统中, 使用 epel-release 依赖中的 YUM 命令来安装 dnf 包: 'yum install dnf -y'
三 选择安装内核
elrepo-kernel 通道,它为 CentOS 和 RHEL Linux 系统提供了长期(kernel-lt) 支持内核和最新的稳定主线内核(kernel-ml)。
我们可以列出主线内核版本
7.0 yum --disablerepo="" --enablerepo="elrepo-kernel" list available
8.0 sudo dnf --disablerepo="" --enablerepo="elrepo-kernel" list available | grep kernel-ml
内核版本介绍:
lt:longterm的缩写:长期维护版;
ml:mainline的缩写:最新稳定版;
选择安装稳定版
7.0 yum --enablerepo=elrepo-kernel install kernel-ml -y
8.0 sudo dnf --enablerepo=elrepo-kernel install kernel-ml -y
四 切换默认内核版本
查看所有可用内核版本
grubby --info=ALL | grep ^kernel
查看默认的内核版本
grubby --default-kernel
设置内核版本
grubby --set-default "/boot/vmlinuz-5.16.13-1.el7.elrepo.x86_64"
五 查看内核版本
重启
reboot
查看版本信息
uname -r
