该漏洞CVE-2017-9525存在于 Ubuntu Bionic 中的 cron 包中,
https://people.canonical.com/~ubuntu-security/cve/pkg/cron.html
我们想在我们的服务器中修复它,但是没有可用于此特定版本的 Cron 的补丁。此发行版的最新 cron 版本是3.0pl1-128.1ubuntu1,据报道它易受攻击,CVE-2017-9525如下所示:https : //packages.ubuntu.com/bionic/cron
为了合规。我们需要修复这个漏洞。我们已经尝试cron从最新的 Ubuntu 发行版下载 deb 软件包并安装它们,但不幸的是,Ubuntu 18 不支持这些软件包。
有没有办法cron在 Ubuntu 18 中升级并修复这个漏洞?
use*_*733 12
事实上,这个漏洞有一个补丁:它附加到https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=864466
如果任何 Ubuntu 用户想要将补丁应用到 16.04 或 18.04,请对其进行测试,然后向 Ubuntu 安全团队报告他们的测试,欢迎您对 Ubuntu 做出真正的贡献。
对于不想自己应用补丁,也不想升级到无漏洞版本的人,Ubuntu 安全团队已经对此进行了分类,并认为这是一个低优先级错误,原因有几个。
看起来该漏洞只能在已经是 crontab 组成员(通常没有人)的攻击者通过 apt 升级 cron 时触发。
cron软件包在 14.04 和 16.04 中没有收到任何发布后更新,到目前为止也没有在 18.04 中收到。此漏洞的机会窗口非常非常有限 - 每 6 个月一次(或每两年一次)。这意味着在其他一些社区成员测试和向后移植补丁时,您有几种可能的方法来降低风险:
下面是一个例子:
你可以apt-mark hold cron,所以它不会更新未被观察到。该漏洞是 postinstall 脚本的一部分,它仅在cron包更新时运行(或者如果您出于任何原因重新安装 cron)。
在 Ubuntu 的默认安装中,crontab组中没有人。crontab在发布 apt-hold 和更新 cron 之前,您可以检查 /etc/groups 中是否有任何意外的组成员,并删除它们。
该漏洞利用涉及使用悬空符号链接来欺骗内核。在升级 cron 之前,您可以检查 $crondir/crontabs 中的悬空符号链接。同样,使用普通的 old 很容易发现ls -la,只需片刻即可删除。
向新用户指出已获得 crontab 组访问权限的入侵者或恶意软件已经破坏了您的系统,无论他们是否获得 root权限,这一点也很重要。
| 归档时间: |
|
| 查看次数: |
766 次 |
| 最近记录: |