Linux内核通杀提权漏洞（CVE-2016-5195脏牛漏洞）, 临时解决办法

　　近日发现了一个影响广泛且严重的 Linux 内核安全问题：CVE-2016-5195 脏牛漏洞。此漏洞可能让没有特权的本地用户获得 root 权限，从而完全控制受影响系统。本文将探讨这一漏洞的具体细节，并提供一种临时缓解方法。

漏洞概述

　　CVE-2016-5195 是一个存在于 Linux 内核 cgroup 子系统的权限提升漏洞。它允许攻击者通过反复触发内存子系统中的竞争条件来获取更高的权限。由于大多数现代 Linux 系统都启用了 cgroups 功能，因此该漏洞的影响范围非常广。

影响范围

　　几乎所有运行 Linux 内核版本在 4.7 及以下的系统都有可能受到影响，包括服务器、桌面操作系统和个人设备等。尤其是那些采用了容器技术如 Docker 的环境，因为这些环境通常会大量使用 cgroups 来隔离资源，增加了被利用的风险。

漏洞原理

　　脏牛漏洞的根本原因在于内核处理 cgroup 的 memory.kmem 子系统时存在的一个竞态条件。当多个进程试图同时修改同一内存区域时，就有可能发生这种竞态条件。攻击者可以精心设计一个程序来不断触发这个条件，最终导致内核错误地赋予了该进程更高的权限。

临时解决方案

　　在官方补丁发布之前，可以通过以下几种方式减轻风险：

1. 　　限制访问：尽量减少非管理员用户的数量，并确保只有经过授权的人员才能访问敏感数据或执行关键操作。

2. 　　禁用不必要服务：关闭任何不必要的服务或应用程序，以降低潜在攻击面。

3. 　　实时监控：部署系统监控工具以检测异常行为或未经授权的操作尝试。

4. 　　cgroup 限制：

   • 对于大多数情况来说，直接禁用整个 cgroup 功能是不可行的，但可以考虑针对特定应用或者用户组进行更严格的限制。
   • 使用 mount 命令检查当前 cgroup 是否已经挂载:

     cat /proc/mounts | grep cgroup
     
     

   • 如果需要，可以通过编辑 /etc/cgconfig.conf 文件并添加适当的配置来限制对 cgroup 的访问。例如，为某个用户创建一个只读的 cgroup 并将其分配给该用户使用的进程：

     group my_cgroup {
     
       memory {}
     
       tasks { }
     
     }
     
     

5. 　　更新软件包管理器缓存：定期清理软件包管理器的缓存文件，以防万一存在可被恶意利用的内容。

　　请注意以上措施只是暂时性的缓解方案，并不能完全阻止 CVE-2016-5195 攻击的发生。最根本的方法还是尽快安装来自发行版维护者的官方安全更新。

结论

　　尽管 CVE-2016-5195 脏牛漏洞是一个严重威胁，但在等待官方修复期间采取适当预防措施仍然非常重要。遵循上述建议可以帮助最大限度地减少受到此类攻击的可能性。同时密切关注相关社区发布的最新信息和技术支持公告也十分必要。

　　总之，在面对类似的安全事件时保持警惕性、积极采取行动以及持续跟进都是保护自己及组织免受损害的关键步骤。