更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)
漏洞背景
近日,Openwall社区上公开了一个Linux内核AF_PACKET原生套接字内存破坏漏洞。根据细节描述,该漏洞出现在net/packet/af_packet.c中,由整数溢出导致越界写,可以通过它进行权限提升。该漏洞危害评级为高,编号为CVE-2020-14386。
受影响产品和缓解措施
1、受影响产品 该漏洞影响Linux发行版高于4.6的内核版本,包括:
Ubuntu Bionic (18.04) and newer
Debian 9
Debian 10
- CentOS 8/RHEL 8
2、缓解措施
(1)修补系统
上游内核补丁如下:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06(2)关闭CAP_NET_RAW功能
针对RHEL8,具体关闭步骤如下:
# echo"user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf # sysctl -p/etc/sysctl.d/userns.conf(3)针对一些受影响的容器产品,同样采取关闭CAP_NET_RAW功能进行缓解
Kubernetes Pod安全策略:配置Pod安全策略以删除运行容器中的CAP_NET_RAW功能,参考链接:https://cloud.google.com/kubernetes-engine/docs/security-bulletins。
相关概念