该漏洞CVE-2017-9525存在于Ubnuntu Bionic的cron软件包中,
https://people.canonical.com/~ubuntu-security/cve/pkg/cron.html
我们想在服务器中修复它,但是此特定版本的Cron没有可用的修补程序。此发行版本的最新cron版本是3.0pl1-128.1ubuntu1,据报道该版本容易受到攻击,CVE-2017-9525如下所示:https : //packages.ubuntu.com/bionic/cron
为了符合要求。我们需要修复此漏洞。我们已经尝试cron从最新的Ubuntu发行版下载deb软件包并安装它们,但是很不幸,Ubuntu 18不支持这些软件包。
有什么方法可以cron在Ubuntu 18中升级并修复此漏洞?
实际上,有一个针对此漏洞的补丁程序:它附在https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=864466上。
如果有任何Ubuntu用户想要将补丁程序应用到16.04或18.04,请对其进行测试,然后将测试报告给Ubuntu安全团队,我们将为您对Ubuntu的真正贡献表示欢迎。
对于不想自己应用补丁程序或不想升级到非脆弱版本的人们,Ubuntu Security Team对此进行了分类,并出于几个充分的理由认为它是低优先级错误。
看起来只有当cron由已经是crontab组成员(通常没有人)的攻击者通过apt升级cron时,才能触发该漏洞。
cron软件包在14.04、16.04或18.04之前均未收到发行后更新。此漏洞的机会窗口非常非常有限-每6个月一次(或每两年一次)。这意味着您可以通过几种可能的方式降低风险,同时其他一些社区成员测试并向后移植该修补程序:
这是一个例子:
您可以apt-mark hold cron,所以它不会不被观察而更新。该漏洞是安装后脚本的一部分,该脚本仅在cron软件包更新时(或由于某种原因重新安装cron时)才运行。
在默认安装的Ubuntu中,该crontab组中没有任何人。crontab在释放apt-hold和更新cron之前,您可以检查/ etc / groups中是否有该组的任何意外成员,并删除它们。
漏洞利用涉及使用悬空的符号链接来欺骗内核。升级cron之前,可以在$ crondir / crontabs中检查悬空的符号链接。再次,使用普通old很容易发现ls -la,并且仅需一点时间即可将其删除。
同样重要的是要向新用户指出,可以访问crontab组的入侵者或恶意软件已经危害了您的系统,无论他们是否获得root权限。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句