【Anolis OS(阿里操作系统)】针对 Linux内核中提权漏洞CVE-2024-1086的[超详细]解决方案

已于 2024-06-20 09:08:30 修改
阅读量979 收藏 4
点赞数 15
分类专栏: 运维助手 文章标签: linux 运维 服务器
于 2024-06-19 17:20:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45408984/article/details/139808561
版权

针对Anolis OS(阿里操作系统),更新内核的方法和CentOS类似,因为Anolis OS也是基于CentOS的一个分支。以下是详细的问题报告和解决方案的Markdown格式文档:

# CVE-2024-1086 漏洞报告与解决方案

## 概述

CVE-2024-1086 是一个Linux内核中存在的提权漏洞,攻击者可以利用该漏洞在本地进行提权操作,最高可获取目标服务器的root管理权限。官方已经发布内核更新以修复此漏洞。

## 影响范围

以下版本的Linux内核受该漏洞影响:
- 3.15 <= Linux kernel < 6.1.76
- 5.2 <= Linux kernel < 6.6.15
- 6.7 <= Linux kernel < 6.7.3
- 6.8:rc1 = Linux kernel

该漏洞不适用于内核配置 `CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y` 且 Linux 内核版本 > 6.4 的系统。

## 检查是否受漏洞影响

### 1. 检查当前Linux内核版本

在终端运行以下命令,查看当前内核版本:

```bash
uname -r

2. 确认内核版本是否在受影响范围内

根据CVE-2024-1086的影响范围,检查内核版本是否在受影响的范围内。

3. 检查内核配置

对于内核版本 > 6.4,还需要检查内核配置 CONFIG_INIT_ON_ALLOC_DEFAULT_ON 是否被启用。运行以下命令:

zcat /proc/config.gz | grep CONFIG_INIT_ON_ALLOC_DEFAULT_ON

如果返回结果为 CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y,则系统不受该漏洞影响。

解决方案

更新Linux内核

针对Anolis OS,采取以下步骤更新内核:

对于Anolis OS系统
sudo yum update kernel
sudo reboot

验证更新

在更新内核并重启系统后,运行以下命令确认内核版本已经更新:

uname -r

确保内核版本在安全范围内。

详细步骤示例

假设您的系统当前运行的是Anolis OS,并且内核版本在受影响范围内:

  1. 检查当前内核版本

    uname -r

    例如,输出为 5.10.0-957.el7.x86_64,表示内核版本为5.10。

  2. 检查内核配置(仅针对内核版本 > 6.4):

    zcat /proc/config.gz | grep CONFIG_INIT_ON_ALLOC_DEFAULT_ON

    如果输出为 CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y,则不受该漏洞影响。

  3. 更新内核

    sudo yum update kernel

  4. 重启系统

    sudo reboot

  5. 验证内核更新

    uname -r

    确认输出的内核版本在安全范围内。

这样,您就完成了对CVE-2024-1086漏洞的检查和修复。

总结

通过上述步骤,可以检查系统是否受CVE-2024-1086漏洞的影响,并及时更新内核以修复该漏洞。定期检查和更新系统是确保服务器安全的重要措施。

饼干饿死了
关注
  • 15
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE2024-1086 nftables UAF漏洞
凯峰的日志
06-12 1882
具作者介绍,该漏洞影响从 v5.14(包括)到 v6.6(包括)的版本,但不包括已修补的分支 v5.15.149>、v6.1.76>、v6.6.15>。关闭nf_tables模块只要使用的还是iptables基本就没啥影响,只是新的类似于iptables防火墙功能的nft无法使用而已。一次,而不需要``make clean`.另外编译新内核时候不要使用其他人分享的内核的config编译参数文件,可能会直接系统开不了机,尽量使用内核自带的config编辑。样例用的6.3.13复现该漏洞提权
(三)openEuler欧拉系统CVE-2024-1086漏洞复验及修复
weixin_45757872的博客
07-03 1168
近日,Linux内核被曝存在提取权限漏洞(漏洞编号CVE-2024-1086),攻击者利用该漏洞可在本地进行提权操作,最高可获取目标服务器的root管理权限,根据openEuler社区公告,也存在此漏洞( 公告链接 )
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞修复方法--多种方式,亲测!!!
qq_21160025的博客
06-03 8920
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞
漏洞复现】(CVE-2024-1086Linux内核提权漏洞CVE-2024-1086
qq_52469895的博客
07-01 503
# 影响范围以下版本的Linux内核受该漏洞影响:该漏洞不适用于内核配置 `CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y` 且 Linux 内核版本 > 6.4 的系统。## 检查是否受漏洞影响### 1. 检查当前Linux内核版本在终端运行以下命令,查看当前内核版本:uname -a。
接着探索Linux的世界 -- 基本指令(文件查看、时间相关、打包压缩等等)
weixin_73359101的博客
07-14 1676
命令输出到某个指定文件,而不是输出到终端屏幕或终端窗口。我们从键盘输入什么,cat命令就打印什么。命令 + >> + 目标文件名。: 将命令的结果写入目标文件;这两条指令的作用等价。
LINUX:懒汉单例模式线程池
W2155的博客
07-16 422
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
linux的学习(四):磁盘,进程,定时,软件包的相关命令
weixin_45037073的博客
07-14 1134
关于磁盘管理,进程管理,定时任务,软件包管理的命令的使用。
定制 Linux 内核的意义
地球空间
07-17 256
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统
linux dev shm扩容
hello__bug的博客
07-14 259
ctrl + x 保存。
文件在Linux下为binary格式在Windows下为utf-8格式
qq_38220334的博客
07-17 285
想着是不是之前遇到的问题,有可能是文件含有特殊字符,然后用vim命令来编辑这个文件,发现,还真是含有一个特殊字符,然后将它删除掉,文件就变成utf-8格式的文件了。在Windows下和Mac下都是没有问题的,在华为云服务器上也是没问题的(操作系统不是centos),但是在自己搭建的Linux服务器(centos)上是有问题的。用shell或者Python脚本去将这个文件转为utf-8格式的,但是都失败了。
Linux 权限
includemainprinf的博客
07-18 477
Linux操作系统,权限管理是一个至关重要的概念,它确保了系统的安全性和稳定性。同时可以在工作,设置对象的权限,就算我们很多人使用一台服务器,我们也可以让别人看不到我们文件的内容,或者让别人无法对自己的文件进行操作!
Linux】深入探索`cp`命令:文件复制的全面指南
lph159的博客
07-18 293
cp命令用于复制文件或目录的内容。cp [选项] 源文件 目标文件或目录使用cp命令可以在文件系统创建新的副本,无论是单个文件还是整个目录树。接下来我们将详细介绍cp命令的各个选项及其用法。
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 473
在计算机基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK。
Linux高级IO
Wang3260584290的博客
07-14 846
Linux的高级IO
Linux RV1126开发板 + AIR780E模块配置RNDIS网络
wxj280306451的博客
07-18 609
此时,使用lsusb命令可以看到 AIR780E在开发板上枚举出来的PID和VID1d91 和 0001 就是VID和PID。
Linux——多路复用之select
最新发布
kkbca的博客
07-19 707
在前面,我们学习了五种IO模型,对IO有了基本的认识,知道了select效率很高,可以等待多个文件描述符,那他是如何等待的呢?我们又该如何使用呢?
Linux笔记之shell终端命令后显示指定行数的grep和head
小勇博客
07-14 555
Linux,grep命令和head命令常用于文本处理。grep命令用于搜索文本的特定模式,而head命令用于显示文件的开头部分。了解如何结合这两个命令(例如使用管道)可以帮助你更高效地处理和查看文本数据。grep -A选项用于在匹配到的行之后显示指定数量的行。例如,将显示匹配到的行及其后面的三行。选项用于显示文件的前n行。例如,将显示file.txt的前五行。
Linux入门以及Linux文件编程学习
2302_80169672的博客
07-18 482
size_t size 参数 : 读取的 基本单元 字节大小 , 单位是字节 , 一般是 buffer 缓冲的单位大小;Vi+文件名 创建或者打开一个文件,进入默认命令行模式,此时你不可以输入代码,只有在输入模式下你才可以输入你的代码,按下字母【i】即可进入输入模式你就可以随便输入你想输入的内容了,按下【ESC】退出输入模式进入命令行模式,在命令行模式下,按下“:”冒号,在输入wq,即可保存内容退出文件!size_t size : 要写出数据的 基本单元 的字节大小 , 写出单位的大小;
Linux exec 命令和Python exec 函数 区别
u010674101的专栏
07-15 519
Linux 的exec和 Python 的exec有不同的设计目的,分别用于进程管理和动态代码执行。它们各自的设计都满足了特定的需求,并提供了相应的灵活性和功能。在使用它们时,需要根据具体场景和需求,权衡利弊,确保安全和效率。
linux漏洞编号cve-2024-1086
06-15
CVE-2024-1086是一个尚未公开的、假设性的漏洞编号,因为2024年尚未到来,所以目前还没有官方发布的CVE-2024-1086CVE(Common Vulnerabilities and Exposures)是用于统一标识公开的安全漏洞的标准命名系统,由美国CERT Coordination Center(CERT/CC)维护。 通常情况下,当一个新的漏洞被发现并上报给CVE项目,它会在相应的年份的CVE列表获得一个唯一的编号。在实际发生之前,具体的漏洞细节(如影响范围、攻击向量、修复建议等)都是保密的,直到安全公告发布或厂商发布安全更新。 如果你对某个已知的CVE感兴趣,比如CVE-2022-xxxx这样的,我可以帮你查找相关的详细信息。不过,由于我无法提供未来尚未公布的漏洞信息,请告诉我你想了解哪个已知的CVE,我会尽我所能为你提供相关信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

饼干饿死了

三连和打赏总要留一个吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值