通告编号:NS-2020-0057
2020-09-24
TAG: | Linux Kernel、权限提升、CVE-2020-14386 |
|---|---|
漏洞危害: | 攻击者利用此漏洞,可实现linux系统权限提升。 |
版本: | 1.0 |
1
漏洞概述
近日,绿盟科技监测发现Linux kernel 存在一个权限提升漏洞(CVE-2020-14386),由于net/packet/af_packet.c在处理AF_PACKET时存在整数溢出,导致可进行越界写从而实现权限提升,攻击者可以利用此漏洞从非特权进程获得系统root权限。使用了Linux Kernel的openshift/docker/kubernetes等虚拟化产品可能会受到该漏洞影响,导致虚拟化逃逸,请相关用户采取措施进行防护。
参考链接:
https://www.openwall.com/lists/oss-security/2020/09/03/3
https://access.redhat.com/security/cve/cve-2020-14386
SEE MORE →
2影响范围
受影响版本
- 4.6<= Linux kernel < 5.9-rc4
- CentOS = 8
- Ubuntu => 18.04
- RHEL = 8
- Debian = 9-10
不受影响版本
- Linux kernel => 5.9-rc4
3漏洞检测
3.1 版本检测
Linux系统用户可以通过查看版本来判断当前系统是否在受影响范围内,查看系统版本信息命令如下:
cat /proc/version |
|---|
3.2 产品检测
绿盟科技远程综合威胁探针(UTS)已具备对此漏洞的检测能力,请有部署设备的用户升级至最新版本。
安全产品 | 升级包版本号 | 升级包下载链接 |
|---|---|---|
UTS | 5.6.10.23620 | http://update.nsfocus.com/update/downloads/id/108759 |
4漏洞防护
4.1 官方防护措施
方法一、通过升级Linux系统内核的方式进行防护。
下载链接:https://github.com/torvalds/linux/releases
方法二、Linux代码库已发布补丁,请相关用户尽快应用此补丁。
commit id:acf69c946233259ab4d64f8869d4037a198c7f06
详细信息可参见:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06
4.2 其他防护措施
一、关闭CAP_NET_RAW功能
RHEL8的操作步骤如下:
# echo"user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf # sysctl -p/etc/sysctl.d/userns.conf |
|---|
单个可执行程序操作步骤如下:
# 查看程序的 cap 权限getcap /bin/ping/bin/ping cap_net_raw=ep# 删除 cap_net_raw 权限setcap cap_net_raw-ep /bin/ping# 检查getcap /bin/ping/bin/ping = |
|---|
二、受影响的容器产品也可通过关闭CAP_NET_RAW功能进行防护:
Kubernetes:配置Pod安全策略以删除运行容器中的CAP_NET_RAW功能,参考链接:https://cloud.google.com/kubernetes-engine/docs/security-bulletins。
END
作者:绿盟科技威胁对抗能力部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
