Je viens d'entendre parler de ce bogue "Dirty COW" qui permet à tout utilisateur ayant un accès en lecture aux fichiers de les écrire et d'obtenir un accès administratif. Comment puis-je me protéger contre ce bogue?

L'ancien insecte sale de la vache

Ce bogue existe depuis la version 2.6.22 du noyau. Il permet à un utilisateur local disposant d'un accès en lecture d'obtenir des privilèges administratifs. Un avertissement a été émis ( Softpedia: Linux Kernels 4.8.3, 4.7.9 & 4.4.26 LTS Out pour corriger la faille de sécurité "Dirty COW" ) et les utilisateurs sont instamment invités à passer au noyau Linux noyau 4.8.3, Linux noyau 4.7. 9 et noyau Linux 4.4.26 LTS. CE LIEN EST TROMPEUR car ces versions du noyau ne sont pas prises en charge par Ubuntu.

Cette réponse est adaptée aux utilisateurs d'Ubuntu et vous indique:

• Versions de noyau recommandées pour les utilisateurs d'Ubuntu
• Comment afficher votre version actuelle du noyau
• Comment appliquer le correctif pour les noyaux pris en charge par Ubuntu
• Comment appliquer le correctif pour les noyaux Ubuntu non pris en charge

Les utilisateurs d'Ubuntu "Dirty COW" ont recommandé les noyaux

Ubuntu a publié des mises à jour de sécurité le 20 octobre 2016 pour corriger le noyau utilisé par toutes les versions d'Ubuntu prises en charge: Softpedia: Canonical Patches Ancien bogue du noyau «Dirty COW» dans tous les systèmes d'exploitation Ubuntu pris en charge

Canonical exhorte tous les utilisateurs à corriger leurs systèmes immédiatement en installant:

• linux-image-4.8.0-26 (4.8.0-26.28) pour Ubuntu 16.10
• linux-image-4.4.0-45 (4.4.0-45.66) pour Ubuntu 16.04 LTS
• linux-image-3.13.0-100 (3.13.0-100.147) pour Ubuntu 14.04 LTS
• linux-image-3.2.0-113 (3.2.0-113.155) pour Ubuntu 12.04 LTS
• linux-image-4.4.0-1029-raspi2 (4.4.0-1029.36)

Le noyau Xenial HWE pour Ubuntu 14.04 LTS a également été mis à jour, en version linux-image-4.4.0-45 (4.4.0-45.66 ~ 14.04.1), et le noyau Trusty HWE pour Ubuntu 12.04 LTS en version linux-image -3.13.0-100 (3.13.0-100.147 ~ précis1).

Veuillez mettre à jour vos installations Ubuntu immédiatement en suivant les instructions fournies par Canonical à: https://wiki.ubuntu.com/Security/Upgrades .

Affichez votre version actuelle du noyau

Pour afficher votre version actuelle du noyau en cours d'exécution, ouvrez le terminal avec Ctrl+ Alt+ T, puis tapez:

uname -a

La version du noyau avec laquelle vous avez démarré s'affiche alors comme ceci:

Linux dell 4.8.1-040801-generic #201610071031 SMP Fri Oct 7 14:34:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

N'oubliez pas qu'après avoir installé le nouveau noyau avec les correctifs, vous pouvez toujours démarrer les anciennes versions du noyau à partir de Grub. Les versions antérieures n'auront pas le patch appliqué, ce qui est le cas de cette version 4.8.1 du noyau.

Rappelez-vous encore une fois que la version 4.8.1 du noyau n'est pas prise en charge par Ubuntu.

Comment réparer les noyaux pris en charge par Ubuntu

Depuis Ubuntu a publié le correctif du bogue, tous les utilisateurs doivent faire est de mettre à niveau leur système. Si les mises à jour de sécurité quotidiennes sont activées, la mise à niveau du noyau a déjà été effectuée. Vérifiez votre version du noyau dans la liste des noyaux ci-dessus.

Si Ubuntu n'a pas automatiquement mis à niveau votre version du noyau, exécutez:

sudo apt-get update
sudo apt-get dist-upgrade
sudo reboot

Après le redémarrage, vérifiez votre version actuelle du noyau en répétant les instructions de la section précédente.

Comment réparer les noyaux Ubuntu non pris en charge

Certaines installations avec du matériel plus récent peuvent utiliser un noyau non pris en charge tel que 4.8.1ou supérieur. Si c'est le cas, vous devrez mettre à niveau manuellement le noyau. Bien que le lien de rapport de bogue ci-dessus indique d'utiliser le noyau 4.8.3, le 30 octobre 2016 4.8.5est le plus récent et voici comment l'installer:

cd /tmp
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805_4.8.5-040805.201610280434_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-image-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
sudo dpkg -i *.deb
sudo reboot

Après le redémarrage, vérifiez votre version actuelle du noyau en répétant les instructions deux sections en arrière.

Je ne suis pas du tout un expert, mais après avoir lu un peu sur le "Dirty COW", j'ai senti que je voulais vraiment vérifier si je vais bien après avoir terminé ma dernière mise à jour il y a seulement quelques heures.

Parmi les résultats de ma recherche par mot clé, j'ai choisi cet article et cette discussion comme étant prometteurs. Maintenant, j'ai facilement réussi à vérifier l'état "COW-patched" de mon système Xenial Xerox en suivant d'abord les instructions de l'article ci-dessus pour afficher votre version actuelle du noyau (il s'avère que c'est :) linux-image-4.4.0.-45. Bien uname -aqu'il ne détaille pas les correctifs, il affiche la version du noyau actuellement installée, ce qui m'a permis de suivre la suggestion de l' utilisateur 643722 - et avec succès:

apt list --installed | grep linux-image-4.4.0-45

Bien qu'une ligne supplémentaire inattendue soit affichée ...

WARNING: apt does not have a stable CLI interface. 
Use with caution in scripts.

... les informations espérées suivies dans la ligne suivante:

linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64  [Installiert,automatisch]

Merci à tous - pour la mise en œuvre rapide des solutions dans les mises à jour par les contributeurs Linux / Ubuntu, et la diffusion rapide des connaissances parmi les utilisateurs.

Vous devez mettre à jour vos packages en utilisant apt-get:

sudo apt-get update && sudo apt-get dist-upgrade

Vous pouvez également activer le service livepach :

Par coïncidence, juste avant la publication de la vulnérabilité, nous avons publié le service Canonical Livepatch pour Ubuntu 16.04 LTS. Les milliers d'utilisateurs qui ont activé canonical-livepatch sur leurs systèmes Ubuntu 16.04 LTS avec ces premières heures ont reçu et appliqué le correctif à Dirty COW, automatiquement, en arrière-plan et sans redémarrage!

1. Accédez à https://ubuntu.com/livepatch et récupérez votre jeton livepatch Installez le composant logiciel enfichable canonical-livepatch

   $ sudo snap install canonical-livepatch

2. Activez le service avec votre token

   $ sudo canonical-livepatch enable [JETON]

3. vérifier l'état à tout moment en utilisant:

   $ canonical-livepatch status --verbose

4. Améliorer

   `$ sudo apt install sans assistance-mises à jour

5. Les anciennes versions d'Ubuntu (ou les systèmes Ubuntu mis à niveau vers 16.04) peuvent avoir besoin d'activer ce comportement en utilisant:

   $ sudo dpkg-reconfigure unattended-upgrades

"