Openwall社区披露一个Linux内核AF_PACKET原生套接字内存破坏漏洞,Linux发行版高于4.6的内核版本net/packet/af_packet.c中,在处理AF_PACKET时存在整数溢出漏洞,可以通过它进行权限提升。
漏洞描述:
Openwall社区披露一个Linux内核AF_PACKET原生套接字内存破坏漏洞,Linux发行版高于4.6的内核版本net/packet/af_packet.c中,在处理AF_PACKET时存在整数溢出漏洞,可以通过它进行权限提升。
腾讯安全威胁情报中心提醒用户尽快采取安全措施阻止漏洞攻击。
漏洞编号:CVE-2020-14386
漏洞等级:高危
受影响的Linux版本:
Linux发行版高于4.6的内核版本,包括:
Ubuntu Bionic (18.04) and newer
Debian 9
Debian 10
CentOS 8/RHEL 8
安全建议:
1、升级内核至安全版本;
内核补丁如下:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06
2、禁用CAP_NET_RAW功能。
针对RHEL8,具体关闭步骤如下:
#echo"user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf
#sysctl -p/etc/sysctl.d/userns.conf
针对一些受影响的容器产品,同样采取关闭CAP_NET_RAW功能进行缓解:
Kubernetes Pod安全策略:配置Pod安全策略以删除运行容器中的CAP_NET_RAW功能
参考链接:
https://www.openwall.com/lists/oss-security/2020/09/03/3
https://github.com/cgwalters/cve-2020-14386
https://sysdig.com/blog/cve-2020-14386-falco/
https://cloud.google.com/kubernetes-engine/docs/security-bulletins