9月4日,Linux社区公布了编号为CVE-2020-14386的内核漏洞。该漏洞源自Linux内核net/packet/af_packet.c,攻击者可以通过该漏洞实现越界写,可能造成提权和容器逃逸等风险。 漏洞信息
漏洞编号:CVE-2020-14386
漏洞评级:高
影响版本:内核版本高于4.6的不同操作系统的Linux发行版均在此次漏洞的影响范围内。
ECS受影响的镜像版本包括:Alibaba Cloud Linux 2.1903(原Aliyun Linux 2.1903)
CentOS 8
Red Hat Enterprise Linux 8
Debian 9/10
OpenSUSE 15
SUSE Linux Enterprise Server 12/15
Ubuntu 18.04/20.04
详细描述 CVE-2020-14386是内核模块中存在的内存溢出漏洞。在高版本Linux系统(内核版本高于4.6)上,非特权用户以及K8s或Docker容器中的用户存在触发该漏洞的可能。该漏洞能够允许攻击者实现越界写,可能实现提权或容器逃逸。
安全建议
及时更新官方补丁。
解决方法 Alibaba Cloud Linux 2.1903(Aliyun Linux 2.1903)修复和升级方式:
使用以下任一方式升级内核版本。
运行以下命令升级内核至修复版本 ----- yum -y install kernel-4.19.91-21.2.al7
运行以下命令升级至最新内核版本 ----- yum -y update kernel
运行以下命令重启系统 -------------------- reboot
___________________________________________________________________
更新环节:
因为我这里是CentOS 7 不是 CentOS 8 所以提升没有可用的软件包,无须任何处理
更新一下 kernel 内核
—————————————————————————————————————
Centos Yum Security Update只更新安全补丁
自动更新设置:---不需要单独一个一个来安装,简单粗暴,建议更新前期做好快照
一、只更新补丁而又不更新其他组件:security update插件
yum security update适用于redhat/centos系统,版本涵盖5、6、7。fedora并未测试
1、插件安装
不同系统版本,yum security update 的安装操作有些许不同。
Red Hat/CentOS 5 // yum install yum-security
Red Hat/CentOS 6 // yum install yum-plugin-security
Red Hat/CentOS 7 // 已集成到yum内部,无需安装额外插件
2.查看系统版本
cat /etc/centos-release
更新和升级
yum update #全部更新
yum update package1 #更新指定程序包package1
yum check-update #检查可更新的程序
yum upgrade package1 #升级指定程序包package1
yum groupupdate group1 #升级程序组group1
升级 --------------------------------------------------------------------------------------------------------------
yum update -y
yum -y update --allowerasing
yum -y update --nobest
#--allowerasing”以替换冲突的包,或“--skip break”以跳过可卸载的包,或“--nobest”以不仅使用最佳候选包 #
二、使用 Centos7系统,Centos8不适用
1.查看高危漏洞公告 //yum updateinfo list
2. 针对高危漏洞公告的某一项进行单独升级
yum update --advisory=FEDORA-EPEL-2022-3c43a57d41
yum update --advisory=FEDORA-EPEL-2022-e03362d364
3. 使用:检查安全更新
-----------------//只安装最安全的安全更新,忽略所有可能包含不安全新功能的包
yum --security update-minimal
----------------//只安装安全更新,新包中可能包含不安全的新功能
yum update --security
4. 运行更新命令出现:
Loading mirror speeds from cached hostfile
No Packages marked for minimal Update
说明源网址出现了问题,需要更新源网址 在这里:/etc/yum.repos.d/CentOS-Base.repo
5. 可以更新163的或最新阿里的
登录后复制
备份// mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
换新// wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
清缓存// yum clean all
重新生成缓存 // yum makecache
再新运行更新命令
检查特定软件有无安全更新 // yum list-security software_name
列出更新的详细信息 //yum info-security software_name
-------------------------------------------------------------------------------------------------------------
三、使用centos 8服务器的安全更新补丁
出现错误1:
Errors during downloading metadata for repository 'AppStream':
- Status code: 404 for http://mirrors.cloud.aliyuncs.com/centos/8/AppStream/x86_64/os/repodata/repomd.xml
解决办法:
下载新的 CentOS-Base.repo 到 /etc/yum.repos.d/
阿里官方源镜像 https://developer.aliyun.com/mirror/centos
wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-vault-8.5.2111.repo
或
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-vault-8.5.2111.repo
出现错误2:
Errors during downloading metadata for repository 'epel-modular':
- Status code: 404 for https://mirrors.fedoraproject.org/metalink?repo=epel-modular-8-stream&arch=x86_64&infra=stock&content=centos (IP: 38.145.60.20)
- Status code: 404 for https://mirrors.fedoraproject.org/metalink?repo=epel-modular-8-stream&arch=x86_64&infra=stock&content=centos (IP: 13.125.120.8)
Error: Failed to download metadata for repo 'epel-modular': Cannot prepare internal mirrorlist: Status code: 404 for https://mirrors.fedoraproject.org/metalink?repo=epel-modular-8-stream&arch=x86_64&infra=stock&content=centos (IP: 38.145.60.20)
解决办法:打开这个文件
注释这行([epel-modular]里的)
metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-modular-$releasever&arch=$basearch&infra=$infra&content=$contentdir
增加这行
baseurl=http://mirrors.cloud.aliyuncs.com/epel/8/Everything/$basearch
