Linux系OSにおける脆弱性 通称Dirty COW (CVE-2016-5195)の対策について考えてみます


システム担当のGucciです。

10日程くらい前からセキュリティ界隈で対策しろよーってよく叫ばれているLinux系OSにおける脆弱性 通称Dirty COW (CVE-2016-5195)について、少し勉強しましょう。

まずは動画から。。。

うん

英語で意味わかんねぇえええって思ったそこのあなた!

なんかかわいらしい牛のイラストの割に結構怖い話をこの動画では流れています。

まず今回の脆弱性の内容はこちら

https://dirtycow.ninja/
“A race condition was found in the way the Linux kernel’s memory subsystem handled the copy-on-write (COW) breakage of private read-only memory mappings. An unprivileged local user could use this flaw to gain write access to otherwise read-only memory mappings and thus increase their privileges on the system.” (RH)

つまりですね

Linux系OSにおいて一般ユーザーがrootユーザーのファイルを書き換えてしまうことできる脆弱が見つかったっていう話です。

これだけ見ただけでも相当怖いっていうのをご理解いただけると思いますが、そんなんSELinuxとかで本当はなんとかなるんでしょ?みたいな安直にお考えの方はいらっしゃるかもしれませんが、実は。。。

今回の脆弱性は、SELinuxを有効にしていても防げるタイプではありません。

「なんだってーーーーーーー!!」

元々SELinuxはシステムコールをフックしてアクセス制御を行うため、今回の脆弱性のようなタイプは防げませんし、意味をなしません。

つまりちゃんと対応しないといけないということです。

じゃ、じゃ、じゃぁどーすればいいの?ってことなんですが、

対策は各ディストリビューションによって違うのですが、弊社ではCentOSを主に使っているのでCentOSについて書いておきます。

CVE-2016-5195 – Red Hat

ここまで長々とビビらせておいてあれ?ん?はい?って思う方もいるかとは思いますが、RedHat系はすでに公式に修正パッチが提供されていまして、

$yum update

って具合にyumのupdateでKernelのアップデートをするだけなんです。。。

ここまで引っ張っておいてそれかYOっていう感じですが、とても重要な脆弱だったのでご注意ください。

そのほかのディストリビューションもそれぞれ公式でパッチが配布されいてるものもありますのでそちらで確認してください。