ダーティCOW Linuxの脆弱性からサーバーを保護する方法

2016年10月19日、Linuxカーネルの権限昇格の脆弱性が公開されました。 このバグは、Dirty COWと呼ばれています。これは、根本的な問題が、カーネルがコピーオンライト（COW）を処理する方法の競合状態であったためです。 ダーティCOWは、少なくとも2007年以降、カーネルバージョン2.6.22で長い間存在していたため、大多数のサーバーが危険にさらされています。

このバグを悪用するということは、サーバー上の通常の非特権ユーザーが読み取り可能なファイルへの書き込みアクセス権を取得できるため、システム上の特権を増やすことができることを意味します。 詳細については、http：//people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-5195.html [Canonical]、https：//access.redhatからCVE-2016-5195を参照してください。 com / security / cve / CVE-2016-5195 [Red Hat]、およびhttps://security-tracker.debian.org/tracker/CVE-2016-5195[Debian]。

幸いなことに、ほとんどの主要なディストリビューションはすでに修正版をリリースしています。 DigitalOceanのすべてのベースイメージは、パッチが適用されたカーネルバージョンを含むように更新されているため、今後作成するDropletを更新する必要はありません。 ただし、古いサーバーを実行している場合は、このチュートリアルに従って、保護されていることを確認してください。

幸いなことに、修正プログラムの適用は簡単です。システムを更新し、サーバーを再起動してください。

UbuntuおよびDebianでは、 `+ apt-get`を使用してパッケージをアップグレードします。

CentOS 5、6、および7上のすべてのパッケージを `+ sudo yum update +`で更新できますが、このバグに対処するためにカーネルを更新するだけの場合は、次を実行します。

外部カーネル管理を備えた古いDropletでは、DigitalOcean GrubLoaderカーネルも選択する必要があります。 これを行うには、https：//cloud.digitalocean.com/droplets [コントロールパネル]に移動し、更新するサーバーをクリックします。 次に、左側のメニューで[カーネル]をクリックし、GrubLoaderカーネルを選択します。 Dropletのカーネルの更新の詳細については、https：//www.digitalocean.com/community/tutorials/how-to-update-a-digitalocean-server-s-kernel [このカーネル管理チュートリアル]をご覧ください。 内部カーネル管理を備えた新しいドロップレットでは、この手順をスキップできます。

最後に、すべてのディストリビューションで、サーバーを再起動して変更を適用する必要があります。

この権限昇格のバグから保護されたままになるように、Linuxサーバーを更新してください。