¿Qué es el error "Dirty COW" y cómo puedo proteger mi sistema de él?

22

Acabo de enterarme de este error, "Dirty COW", que permite que cualquier usuario con acceso de lectura a los archivos también pueda escribirles y obtener acceso administrativo. ¿Cómo me protejo contra este error?

    
pregunta WinEunuuchs2Unix 21.10.2016 - 03:35

3 respuestas

20

The Ancient Dirty COW Bug

Este error ha estado presente desde Kernel versión 2.6.22. Permite a un usuario local con acceso de lectura obtener privilegios administrativos. Se ha emitido una advertencia ( Softpedia: Linux Kernels 4.8.3, 4.7.9 y 4.4.26 LTS Out to Patch" Error de seguridad Dirty COW ") y los usuarios son instó a actualizar a kernel Linux kernel 4.8.3, kernel de Linux 4.7.9 y kernel de Linux 4.4.26 LTS. ESTE ENLACE SE ENCUENTRA ENGAÑOS porque estas versiones de Kernel no son compatibles con Ubuntu.

Esta respuesta está diseñada para usuarios de Ubuntu y te dice:

  • Versiones de Kernel recomendadas para usuarios de Ubuntu
  • Cómo mostrar tu versión actual de Kernel
  • Cómo aplicar el arreglo para kernels compatibles con Ubuntu
  • Cómo aplicar la corrección para kernels de Ubuntu no admitidos

Los usuarios de Ubuntu "Dirty COW" recomendaron Kernels

Ubuntu lanzó actualizaciones de seguridad el 20 de octubre de 2016 para parchear el Kernel utilizado por todas las versiones de Ubuntu compatibles: Softpedia: Parches canónicos Antiguo error de kernel" Dirty COW "en todos los sistemas operativos compatibles de Ubuntu

Canonical insta a todos los usuarios a instalar parches en sus sistemas instalando de inmediato:

  • linux-image-4.8.0-26 (4.8.0-26.28) para Ubuntu 16.10
  • linux-image-4.4.0-45 (4.4.0-45.66) para Ubuntu 16.04 LTS
  • linux-image-3.13.0-100 (3.13.0-100.147) para Ubuntu 14.04 LTS
  • linux-image-3.2.0-113 (3.2.0-113.155) para Ubuntu 12.04 LTS
  • linux-image-4.4.0-1029-raspi2 (4.4.0-1029.36)

También se actualizó el kernel Xenial HWE para Ubuntu 14.04 LTS, a la versión linux-image-4.4.0-45 (4.4.0-45.66 ~ 14.04.1), y el kernel Trusty HWE para Ubuntu 12.04 LTS a la versión linux-image-3.13.0-100 (3.13.0-100.147 ~ precise1).

Actualice sus instalaciones de Ubuntu inmediatamente siguiendo las instrucciones proporcionadas por Canonical en: enlace .

Muestra tu versión actual del kernel

Para mostrar su versión actual del kernel en ejecución, abra el terminal con Ctrl + Alt + T y luego escriba:

uname -a

La versión del kernel que inició con se muestra así:

Linux dell 4.8.1-040801-generic #201610071031 SMP Fri Oct 7 14:34:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

Recuerde que después de instalar el nuevo kernel con los parches, aún puede arrancar versiones anteriores del kernel desde Grub. Las versiones anteriores no tendrán el parche aplicado, que es el caso de esta versión del kernel 4.8.1.

Recuerda una vez más que la versión kernel 4.8.1 no es compatible con Ubuntu.

Cómo solucionar kernels compatibles con Ubuntu

Desde que Ubuntu lanzó la solución del error, todos los usuarios deben actualizar su sistema. Si las actualizaciones de seguridad diarias están habilitadas, la actualización del núcleo ya se ha realizado. Verifique la versión de su núcleo a la lista de kernels anterior.

Si Ubuntu no ha actualizado automáticamente su versión del kernel, ejecute:

sudo apt-get update
sudo apt-get dist-upgrade
sudo reboot

Después de reiniciar, verifique su versión actual del núcleo repitiendo las instrucciones de la sección anterior.

Cómo solucionar kernels de Ubuntu no compatibles

Algunas instalaciones con hardware más nuevo pueden estar usando un Kernel no compatible, como 4.8.1 o superior. De ser así, deberá actualizar manualmente el Kernel. Aunque el enlace del informe de errores anterior dice que debe usar Kernel 4.8.3 , al 30 de octubre de 2016, 4.8.5 es el más reciente y así es cómo instalarlo:

cd /tmp
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805_4.8.5-040805.201610280434_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-image-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
sudo dpkg -i *.deb
sudo reboot

Después de reiniciar, verifique su versión actual del kernel repitiendo las instrucciones de dos secciones atrás.

    
respondido por el WinEunuuchs2Unix 21.10.2016 - 03:35
1

No soy un experto en absoluto, pero después de haber leído un poco sobre "Dirty COW", sentí que realmente quería comprobar si estoy bien después de completar mi actualización más reciente hace solo un par de horas.

De los resultados de mi búsqueda de palabras clave, elegí este artículo & amp; discusión como suena prometedor. Ahora, he logrado verificar fácilmente el estado "COW-patched" de mi sistema Xenial Xerox siguiendo primero las instrucciones del artículo anterior para Mostrar su versión actual de Kernel (resulta que es: linux-image-4.4.0.-45 ) . Aunque uname -a no detalla los parches, muestra la versión del núcleo instalada actualmente, lo que me permitió seguir la sugerencia del usuario 643722 - y con éxito:

apt list --installed | grep linux-image-4.4.0-45

Aunque se mostró una línea adicional inesperada ...

WARNING: apt does not have a stable CLI interface. 
Use with caution in scripts.

... la información esperada siguió en la siguiente línea:

linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64  [Installiert,automatisch]

Gracias a todos: por la rápida implementación de soluciones en actualizaciones por parte de los colaboradores de Linux / Ubuntu y la rápida difusión del conocimiento entre los usuarios.

    
respondido por el Ano Nyma 23.10.2016 - 00:58
1

Necesita actualizar sus paquetes usando apt-get :

sudo apt-get update && sudo apt-get dist-upgrade

También puede habilitar la servicio livepach :

  

Casualmente, justo antes de que se publicara la vulnerabilidad, lanzamos el servicio Canonical Livepatch Service para Ubuntu 16.04 LTS. Los miles de usuarios que habilitaron canonical-livepatch en sus sistemas Ubuntu 16.04 LTS con esas primeras horas recibidas y aplicaron el parche a Dirty COW, automáticamente, en segundo plano, ¡y sin reiniciar!

     
  1. Ve a enlace y recupera tu token de livepatch.   Instale el complemento canonical-livepatch

         

    $ sudo snap install canonical-livepatch

  2.   
  3. Habilite el servicio con su token

         

    $ sudo canonical-livepatch enable [TOKEN]

  4.   
  5. verifica el estado en cualquier momento usando:

         

    $ estado canonical-livepatch --verbose

  6.   
  7. Actualizar

         

    '$ sudo apt install desatendido-actualizaciones

  8.   
  9. Es posible que las versiones anteriores de Ubuntu (o sistemas Ubuntu que se actualizaron a 16.04) necesiten habilitar este comportamiento usando:

         

    $ sudo dpkg-reconfigure desatendido-actualizaciones

  10.   

'

    
respondido por el GAD3R 16.11.2016 - 11:55

Lea otras preguntas en las etiquetas