“linux癌症”来袭,通杀主流发行版,732字节攻陷root权限
4月30日,一个名为“linux癌症(Copy Fail)”的危险漏洞被正式公开披露。这个漏洞可以用一个长度为732字节的Python脚本,实现近乎100%的本地账户可靠提权,直接获取宿主服务器的最高权限(root)。这个漏洞主要更改内存中的页面缓存,不触碰硬盘上的文件数据,因此可以绕过很多杀毒软件的防御机制,而且页面缓存只存在于内存中,关机、重启即可消除黑客入侵痕迹,导致文件更改无法溯源。用白话来描述这个漏洞的危害:比如你在阿里云(纯属举例,百度云、腾讯云也可以)租了一个主机,这个主机上有50个企业用户,只要其中一个用户的linux存在该漏洞,黑客就可以通过他的权限来提权,获取整个主机的root权限,这台主机上50个用户存储的所有用户信息、往来文件、私密文件、资金往来等机密信息,都在黑客面前一览无余。
2017年之后所有的主流linux发行版,都在这个漏洞的攻击范围之类,Ubauntu、SUSE、Debian等主流发行版都受此影响。目前主流linux厂商已经开始紧急推送缓解补丁,黑奇士强烈推荐所有厂商必须弥补该补丁。(个人用户拿linux玩的话。。倒是可以不那么急。。)如果主机无法重启升级内核,应临时禁用algif-aead内核模块来阻止漏洞被禁用。截止发稿时为止,我没看到主流杀毒软件对这个漏洞发出预警,只有业内安全号在无力呼吁。国内外很多文章把这个漏洞的危害描述为史诗级,我个人觉得,这个漏洞的威胁程度,很可能跟当初个人用户的CIH\熊猫烧香等现象级病毒相提并论。通杀所有linux发行版,这个威胁范围太大了。这个漏洞只存在于内存中,重启后痕迹就会消除,导致云厂商、公司极其容易甩锅。比如你在某云租了一个主机,然后你的用户资料莫名其妙外泄了,你会认为是这个云厂商的安全措施没做到位吗?运维兄弟们,赶紧起来干活去,别尼玛的躺平了,免得被甩出来当背锅侠。这个“linux癌症”是我取的中文名,英文名“copy fail复制错误”一点也不酷,我觉得这么命名比较牛b。。。2、https://xint.io/blog/copy-fail-linux-distributions3、黑白之道 https://xint.io/blog/copy-fail-linux-distributions