漏洞描述:
CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。
影响范围:
5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102
排查命令:
uname -r
拓展知识:
第一个组数字:3, 主版本号
第二个组数字:10, 次版本号,当前为稳定版本,一般这个数字为偶数表示稳定,奇数表示在开发版本,通常这样的不做生产使用。
第三个组数字:0, 修订版本号
第四个组数字:1160.49.1,表示发型版本的补丁版本
el7:则表示我正在使用的内核是 RedHat / CentOS 系列发行版专用内核 ,centos7
x86_64:采用的是适用64位的CPU的操作系统
解决方案:
升级 Linux 内核到以下安全版本:
-
Linux 内核 >= 5.16.11
-
Linux 内核 >= 5.15.25
-
Linux 内核 >= 5.10.102
升级方法(以CentOS7为例):
1. CentOS 允许使用 ELRepo、第三方仓库,可以直接将内核升级到最新版本。
2. 载入公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
3. 安装 ELRepo 最新版本
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
4.查看可用的版本
yum --disablerepo="*" --enablerepo="elrepo-kernel" list available
可以看到有两个版本可用
5. 安装稳定的内核版本
yum --enablerepo=elrepo-kernel install kernel-ml
6. 编辑 /etc/default/grub 并设置 GRUB_DEFAULT=0。第一个内核将作为默认内核
7. 重新创建grub配置
grub2-mkconfig -o /boot/grub2/grub.cfg
8. 重启后可以看到已经使用最新内核启动
9. uname -r 查看版本
注:养成良好运维习惯,升级前请做好测试工作及备份工作。