漏洞概述

Jann Horn發現內核中Berkeley Packet Filter（BPF）實現中, Linux內核4.14.8版本開始kernel/bpf/ verifier.c源碼中的check_alu_op函數啟用了不正確地執行符號擴展,可導致內存任意讀寫漏洞。一般用戶可利用這個漏洞，實現任意代碼，獲得本地提權操作。

日前， CVE-2017-16995的Linux內核漏洞攻擊代碼被發布：

影響版本

Linux Kernel Version 4.14~4.4 （主要是Debian和Ubuntu發行版）

內核版信息查看

cat /proc/version

ubuntu版本影響情況

更多信息請參考https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-16995.html

redhat系列不受影響

筆者鬆了口氣，看熱鬧就成了。

修復建議：

目前暫未有明確的補丁升級方案。 建議用戶在評估風險後，通過修改內核參數限制普通用戶使用bpf(2)系統調用：

$ sudo sysctl kernel.unprivileged_bpf_disabled=1

$ echo kernel.unprivileged_bpf_disabled=1 | sudo tee /etc/sysctl.d/90-CVE-2017-16995-CVE-2017-16996.conf

關於升級補丁，部分ubuntu版本已經提供了補丁見上一部分列出的鏈接，可以酌情安排升級。

參考鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！