【漏洞预警】Linux Kernel openvswitch 模块权限提升漏洞(CVE-2022-2639)POC复现及修复方法
🎈 作者:互联网-小啊宇 🎈 简介: CSDN 运维领域创作者、阿里云专家博主。目前从事 Kubernetes运维相关工作,擅长Linux系统运维、开源监控软件维护、Kubernetes容器技术、CI/CD持续集成、自动化运维、开源软件部署维护等领域。 🎈 博客首页:CSDN【互联网-小阿宇】 、阿里云【互联网-小阿宇】 🎈 欢迎小伙伴们点赞👍、留言💬 📷 ⭐Centos系统升级内核 🎈查看现在的内核版本 🎈查看 yum 中可升级的内核版本 🎈导入ELRepo软件仓库的公共秘钥 🎈Centos系
升级 CentOS 内核参考资料 1 升级 CentOS 内核参考资料 2 通过 /proc 虚拟文件系统读取或配置内核 Linux 内核官网 CentOS 官网
大家好,又见面了,我是你们的朋友全栈君。 1,查看当前linux内核版本命令 [root@ ~]uname -a Linux critical-drum-1.localdomain 4.12.10-1.el7.elrepo.x86_64 #1 SMP Wed Aug 30 13:00:07 EDT 2017 x86_64 x86_64 x86_64 GNU/Linux [root@ ~]uname -r 4.12.10-1.el7.elrepo.x86_64 [root@ ~]cat /etc/re
为了 Docker、Kubernetes 运行稳定,升级 Centos 7 内核版本为 5.12.11。
将 下载的 Linux 内核源码 linux-5.6.14.tar.gz 拷贝到 Ubuntu 虚拟机中 , 执行
安装导入包 rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm rpm -import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org 查看可用内核版本 yum --disablerepo="*" --enablerepo="elrepo-kernel" list available 安装4版本kernel-lt内核 yum -y --enablerepo=elrep
Linux内核是GNU/Linux操作系统的核心组件。它是一个免费、开源、庞大、模块化、多任务的类Unix的操作系统内核。它最初是由Linus Torvalds在1991年为他的i386 PC创造的。
让我们安装了一个发行版,它包含了一个特定版本的内核。为了展示当前系统中已安装的版本,我们可以:
1.对于 CentOS/RHEL 系统,尽量使用 yum 方式或 RPM 包安装 / 升级内核,需要注意的是红帽的 Red Hat Linux 服务需要订阅。
下面我们介绍一些方法来获取系统的版本,首先是通过查看Linux内核的方法,主要有2种方法:
uname命令用于打印当前系统相关信息(内核版本号、硬件架构、主机名称和操作系统类型等)。
yum 方式升级到最新版 导入 elrepo 仓库 rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm 列出可用的内核相关包 # kernel-lt:长期支持版本,用于修复旧版内核的 BUG,这些内核只会修复重大 BUG,并且不会频繁发布版本。 # kernel-ml:最新稳定版本 yum --d
CentOS 7自带的内核版本还停留在3.x,如果某些软件对Linux内核版本有要求,就不得不升级内核来支持,比如Google的BBR加速,要求Linux内核大于4.9以上,这篇文章来聊一聊CentOS 7内核升级的话题。
在虚拟机上运行的ubuntu16.04 , 使用命令uname -r查看当前系统内核版本
因为一些调试及测试需要,我们的centos需要安装高版本内核以便进行BCC和BPF的实时调试功能。
里面kernel-ml-5.3.8-1.el7.elrepo.x86_64就是安装的新版版本内核(你看到这篇教程的时候可能内核版本有变化,随机应变)
【漏洞预警】CVE-2022-2588:Linux Kernel 权限提升漏洞(Dirtycred)
上一篇已经介绍了关于Ubuntu18.04 实时内核的安装,此处介绍Ubuntu16.04的实时内核具体安装情况。
由于Docker 在CentOS系统中需要安装在 CentOS 7 64 位的平台,并且内核版本不低于 3.10;CentOS 7.× 满足要求的最低内核版本要求,但由于 CentOS 7默认内核版本比较低,部分功能(如 overlay2 存储层驱动)无法使用,并且部分功能可能不太稳定。所以建议大家升级到最新的稳定内核版本。
这个名叫Dirty COW,也就是脏牛的漏洞,存在Linux内核中已经有长达9年的时间,也就说2007年发布的Linux内核版本中就已经存在此漏洞。Linux kernel团队已经对此进行了修复。据说Linus本人也参与了修复。:P 00x1 漏洞编号: CVE-2016-5195 00x2 漏洞危害: 低权限用户利用该漏洞可以在众多Linux系统上实现本地提权 00x3影响范围: Linux kernel >=2.6.22(2007年发行,到今年10月18日才修复) 00x4
Linux 内核漏洞相较于其它 Linux 软件漏洞,修复起来较为麻烦,本文章旨在指导运维人员根据 腾讯云主机安全 告警信息,对 Linux 内核漏洞进行修复,鉴于Linux 内核漏洞的危害及其对业务的影响,建议在测试环境经过充分测试后,再对生产环境进行操作,操作前请做好快照备份。
#查看现在的内核版本uname -aLinux worker01 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux#查看 yum 中可升级的内核版本yum list kernel --showduplicates#如果list中有需要的版本可以直接执行 update 升级,多数是没有的,所以要按以下步骤操作#导入ELRepo软件仓库的公共秘钥rpm --import https:
ELRepo是用于Enterprise Linux软件包的RPM存储库。ELRepo支持Red Hat Enterprise Linux(RHEL)及其衍生版本(Scientific Linux,CentOS等)。
由于公司服务器新业务需要,需要将CentOS 7系统的内核(3.10.0-229)进行升级。
wget https://elrepo.org/linux/kernel/el7/x86_64/RPMS/kernel-ml-5.5.9-1.el7.elrepo.x86_64.rpm
Kernel是Linux操作系统的核心部分。它由操作系统中用于管理存储器、文件、外设和系统资源的那些部分组成。Kernel是操作系统的核心,掌控着所有硬件设备的控制权。
BBR 算法需要 Linux 4.9 及以上的内核支持,所以想要使用该方式的需要先升级内核版本。
//升级内核,参考https://elrepo.org/linux/kernel/el7/x86_64/RPMS/ 里显示的 elrepo-release的版本进行如下第2步的安装
3月31日, 选手Manfred Paul 在Pwn2Own比赛上用于演示Linux内核权限提升的漏洞被CVE收录,漏洞编号为CVE-2020-8835。 此漏洞由于bpf验证系统在Linux内核中没有正确计算某些操作的寄存器限制,导致本地攻击者可以利用此缺陷越界读取机密信息(内核内存)或将用户提升为管理权限。请相关用户采取措施进行防护。
近日,绿盟科技监测发现Linux kernel 存在一个权限提升漏洞(CVE-2020-14386),由于net/packet/af_packet.c在处理AF_PACKET时存在整数溢出,导致可进行越界写从而实现权限提升,攻击者可以利用此漏洞从非特权进程获得系统root权限。使用了Linux Kernel的openshift/docker/kubernetes等虚拟化产品可能会受到该漏洞影响,导致虚拟化逃逸,请相关用户采取措施进行防护。
我们使用 Linux 来表示整个操作系统,但严格地来说,Linux 只是个内核。各种发行版(RedHat、ubuntu、CentOS等)是一个完整功能的系统,它建立在内核之上,具有各种各样的应用程序工具和库。
背景:因服务器宕机涉及红帽内核的bug,需升级Linux内核至2.6.32-279或更高版本。
由于一些不可描述的原因,有时候我们需要通过 git 从一些网站(Github or Kernel.org) clone 代码的时候,速度非常的慢。
上周末,智谱AI在2023中国计算机大会(CNCC)上推出了全自研的第三代基座大模型ChatGLM3,在各个任务上相比ChatGLM2都有了很大的提升。今天终于下载了模型部署测试,实际效果确实要比ChatGLM2要好。
3月31日,选手Manfred Paul在Pwn2Own比赛上用于演示Linux内核权限提升的漏洞被CVE收录,漏洞编号为CVE-2020-8835。此漏洞由于bpf验证系统在Linux内核中没有正确计算某些操作的寄存器限制,导致本地攻击者可以利用此缺陷越界读取机密信息(内核内存)或将用户提升为管理权限。请相关用户采取措施进行防护。
这里就不想自己一个一个地配了,故直接将当前Ubuntu 14.04.1 LTS的kernel配置copy过来用。
Linux kernel官网:https://kernel.org/ Active kernel releases(查看EOL信息):https://kernel.org/category/releases.html
ELRepo 仓库是基于社区的用于企业级 Linux 仓库,提供对 RedHat Enterprise (RHEL) 和 其他基于 RHEL的 Linux 发行版(CentOS、Scientific、Fedora 等)的支持。 ELRepo 聚焦于和硬件相关的软件包,包括文件系统驱动、显卡驱动、网络驱动、声卡驱动和摄像头驱动等。
一.运行docker Linux内核版本需要在3.8以上,针对centos6.5 内核为2.6的系统需要先升级内核.不然会特别卡,退出容器.
Linux version 2.6.38-13-generic(buildd@rothera) (gcc version 4.5.2 (Ubuntu/Linaro 4.5.2-8ubuntu4)) #57-Ubuntu SMP Mon Mar 5 18:10:14 UTC 2012
在研究了一阵后,发现是APT如果在安装某个包中断后,以后再安装什么都会汇报依赖那个包失败。因此linux-image-extra-4.4.0-116-generic这个包很可能是在某次apt upgrade过程中被安装的,但是由于/boot目录已满,导致安装linux-image-extra-4.4.0-116-generic失败,以至于后面的apt命令都汇报依赖该包失败。
更新结束后如果直接重启会发现,多出几个启动项,那么怎么删除这些多余内核呢?或者说旧的不用的内核?
https://mirrors.edge.kernel.org/pub/linux/kernel/
建议使用阿里云的源其他发行版等同:http://mirrors.aliyun.com/help/centos
Linux 的内核源代码可以从网上下载,解压缩后文件一般也都位于linux目录下。内核源代码有很多版本,可以从linux0.01内核入手,总共的代码1w行左右,最新版本 5.9.8总共代码超过700w行,非常庞大.
默认启动的顺序是从0开始,新内核是从头插入(目前位置在0,而4.4.4的是在1),所以需要选择0。
注意:一定要执行 cd linux-6.5.2 命令,因为接下的操作默认都是这该目录下操作的。
WireGuard 的安装和使用条件非常苛刻,对内核版本要求极高,不仅如此,在不同的系统中,内核,内核源码包,内核头文件必须存在且这三者版本要一致。所以一般不建议在生成环境中安装,除非你对自己的操作很有把握。Red Hat、CentOS、Fedora 等系统的内核,内核源码包,内核头文件包名分别为 kernel、kernel-devel、kernel-headers,Debian、Ubuntu 等系统的内核,内核源码包,内核头文件包名分别为 kernel、linux-headers。
在安装部署一些环境的时候,会要求内核版本的要求,可以通过YUM工具进行安装配置更高版本的内核,当然更新内核有风险,在操作之前慎重,严谨在生产环境操作!
领取专属 10元无门槛券
手把手带您无忧上云