बग "गंदा गाय" क्या है, और मैं इसके खिलाफ अपने सिस्टम को कैसे सुरक्षित कर सकता हूं?


22

मैंने अभी इस बग "डर्टी कॉट" के बारे में सुना है जो किसी भी उपयोगकर्ता को फ़ाइलों को पढ़ने के लिए उपयोग करने की अनुमति देता है ताकि उन्हें भी लिखा जा सके और प्रशासनिक पहुंच प्राप्त हो सके। मैं इस बग से कैसे बचाव करूं?

जवाबों:


20

प्राचीन गंदा गाय बग

यह बग कर्नेल संस्करण 2.6.22 के बाद से है। यह एक स्थानीय उपयोगकर्ता को प्रशासनिक विशेषाधिकार प्राप्त करने के लिए पढ़ने की अनुमति देता है। एक चेतावनी जारी की गई है ( सॉफ्टपीडिया: लिनक्स कर्नेल 4.8.3, 4.7.9 और 4.4.26 एलटीएस आउट टू पैच "डर्टी गाय" सिक्योरिटी फ्लैव ) और उपयोगकर्ताओं से कर्नेल लिनक्स कर्नेल 4.8.3, लिनक्स कर्नेल 4.7 में अपग्रेड करने का आग्रह किया गया है। 9, और लिनक्स कर्नेल 4.4.26 एलटीएस। यह लिंक इस प्रकार है क्योंकि ये कर्नेल संस्करण उबंटू द्वारा समर्थित नहीं हैं।

यह उत्तर उबंटू उपयोगकर्ताओं के लिए अनुकूलित है और आपको बताता है:

  • उबंटू उपयोगकर्ताओं के लिए अनुशंसित कर्नेल संस्करण
  • अपने वर्तमान कर्नेल संस्करण को कैसे प्रदर्शित करें
  • उबंटू समर्थित कर्नेल के लिए फिक्स कैसे लागू करें
  • गैर-समर्थित उबंटू कर्नेल के लिए फिक्स कैसे लागू करें

उबंटू के उपयोगकर्ताओं ने "डर्टी गाय" को कर्नेल की सिफारिश की

उबंटू ने 20 अक्टूबर 2016 को सभी समर्थित उबंटू संस्करणों द्वारा उपयोग किए गए कर्नेल को पैच करने के लिए सुरक्षा अपडेट जारी किया: सॉफ्टपीडिया: कैनोनिकल पैच प्राचीन "डर्टी कॉट" कर्नेल बग सभी समर्थित उबंटू ओएस में

कैनोनिकल सभी उपयोगकर्ताओं से अपने सिस्टम को तुरंत इंस्टॉल करके पैच करने का आग्रह कर रहा है:

  • Ubuntu 16.10 के लिए linux-image-4.8.0-26 (4.8.0-26.28)
  • Ubuntu 16.04 LTS के लिए linux-image-4.4.0-45 (4.4.0-45.66)
  • Ubuntu 14.04 LTS के लिए linux-image-3.13.0-100 (3.13.0-100.147)
  • Ubuntu 12.04 LTS के लिए linux-image-3.2.0-113 (3.2.0-113.155)
  • linux-image-4.4.0-1029-raspi2 (4.4.0-1029.36)

उबंटू HWE कर्नेल उबंटू 14.04 LTS के रूप में अच्छी तरह से अपडेट किया गया था, लिनक्स-इमेज-4.4.0-45 (4.4.0-45.66 ~ 14.04.1) के संस्करण के लिए, और Ubuntu 12.04 LTS के लिए विश्वसनीय HWE कर्नेल को संस्करण-छवि -3.13.0-100 (3.13.0-100.147 ~ सटीक 1)।

कृपया कैनन द्वारा दिए गए निर्देशों का पालन करके तुरंत अपने उबंटू प्रतिष्ठानों को अपडेट करें: https://wiki.ubuntu.com/Security/Upgrades

अपना वर्तमान कर्नेल संस्करण प्रदर्शित करें

अपने मौजूदा चल रहा कर्नेल संस्करण के साथ खोलने टर्मिनल प्रदर्शित करने के लिए Ctrl+ Alt+ Tऔर फिर टाइप करें:

uname -a

उसके बाद आपके द्वारा बूट किया गया कर्नेल संस्करण इस तरह प्रदर्शित होता है:

Linux dell 4.8.1-040801-generic #201610071031 SMP Fri Oct 7 14:34:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

याद रखें कि जब आप नए कर्नेल को पैच के साथ स्थापित करते हैं, तब भी आप ग्रब से पुराने कर्नेल संस्करण को बूट कर सकते हैं। पुराने संस्करणों में पैच लागू नहीं होगा, जो कि इस कर्नेल संस्करण 4.8.1 का मामला है।

एक बार फिर याद रखें कर्नेल संस्करण 4.8.1 उबंटू द्वारा समर्थित नहीं है।

उबंटू समर्थित गुठली के लिए कैसे ठीक करें

चूंकि उबंटू ने बग को ठीक कर दिया है, इसलिए सभी उपयोगकर्ताओं को अपने सिस्टम को अपग्रेड करना होगा। यदि दैनिक सुरक्षा अद्यतन सक्षम हैं तो कर्नेल उन्नयन पहले ही किया जा चुका है। ऊपर दिए गए कर्नेल की सूची में अपना कर्नेल संस्करण जांचें।

यदि उबंटू ने आपके कर्नेल संस्करण को स्वचालित रूप से अपग्रेड नहीं किया है तो चलाएं:

sudo apt-get update
sudo apt-get dist-upgrade
sudo reboot

रीबूट करने के बाद पिछले अनुभाग के निर्देशों को दोहराकर अपने वर्तमान कर्नेल संस्करण की जांच करें।

गैर-समर्थित उबंटू कर्नेल के लिए कैसे ठीक करें

नए हार्डवेयर के साथ कुछ इंस्टॉलेशन असमर्थित कर्नेल का उपयोग कर सकते हैं जैसे कि 4.8.1अधिक या अधिक। यदि ऐसा है तो आपको कर्नेल को मैन्युअल रूप से अपग्रेड करना होगा। यद्यपि ऊपर दी गई बग रिपोर्ट लिंक कर्नेल का उपयोग करने के लिए कहती है 4.8.3, 30 अक्टूबर, 2016 तक, 4.8.5सबसे हाल का है और इसे इसे स्थापित करने का तरीका है:

cd /tmp
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805_4.8.5-040805.201610280434_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-headers-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.8.5/linux-image-4.8.5-040805-generic_4.8.5-040805.201610280434_amd64.deb
sudo dpkg -i *.deb
sudo reboot

रीबूट करने के बाद निर्देश दो खंडों को दोहराकर अपने वर्तमान कर्नेल संस्करण की जांच करें।


"यह लिंक भ्रामक है" के बजाय, जो मुझे एक शब्द भी मजबूत लगता है, मैं "उन निर्देशों को उबंटू उपयोगकर्ताओं पर लागू नहीं होता" की तर्ज पर कुछ कहना होगा।
fkraiem 4

@ WinEunuuchs2Unix मैं सुझाव देने जा रहा था "यह लिंक, जैसा कि है, भ्रामक है, क्योंकि उल्लिखित कर्नेल संस्करण उबंटू द्वारा समर्थित नहीं हैं।" यह भी सुनिश्चित नहीं है कि आप हर जगह तारीखें क्यों बांध रहे हैं?
थॉमस वार्ड

Ubuntu 16.04 LTS होने के बाद, मैंने पाया कि इस कमांड ने मुझे दिखाया कि सब अच्छा था: apt list --installed | grep linux-image-4.4.0-45- यह वापस आ गया linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64 [installed,automatic]
user643722

1

मैं बिल्कुल भी विशेषज्ञ नहीं हूं, लेकिन थोड़ा सा "गंदे गाय" पर पढ़ा हुआ, मुझे लगा कि मैं वास्तव में यह जांचना चाहता हूं कि क्या मैं अपने सबसे हालिया अपडेट को एक-दो घंटे पहले पूरा करने के बाद ठीक हूं या नहीं।

अपने कीवर्ड खोज के परिणामों से मैंने आशाजनक लगने के रूप में इस लेख और चर्चा को उठाया। अब, मैंने आसानी से अपने वर्तमान कर्नेल संस्करण (पता चलता है, यह है :) को दिखाने के लिए उपरोक्त लेख के निर्देशों का पालन करते हुए, पहले मेरे Xenial ज़ेरॉक्स सिस्टम की "गाय-पैच" स्थिति को सत्यापित करने में कामयाब रहा linux-image-4.4.0.-45। हालांकि uname -aपैच को विस्तृत नहीं करता है, यह वर्तमान में स्थापित कर्नेल संस्करण प्रदर्शित करता है, जिसने मुझे उपयोगकर्ता के 643722 के सुझाव का पालन ​​करने की अनुमति दी - और सफलतापूर्वक:

apt list --installed | grep linux-image-4.4.0-45

हालांकि एक अनपेक्षित अतिरिक्त लाइन प्रदर्शित की गई थी ...

WARNING: apt does not have a stable CLI interface. 
Use with caution in scripts.

... अगली पंक्ति में जानकारी के लिए उम्मीद की जा रही है:

linux-image-4.4.0-45-generic/xenial-updates,xenial-security,now 4.4.0-45.66 amd64  [Installiert,automatisch]

सभी के लिए धन्यवाद - लिनक्स / उबंटू योगदानकर्ताओं द्वारा अद्यतनों में तेजी से कार्यान्वयन के लिए, और उपयोगकर्ताओं के बीच ज्ञान का तेजी से प्रसार।


1
यदि आप स्वयं के apt-getबजाय उपयोग करते हैं तो चेतावनी दूर हो aptजाती है।
विनयुनुच्स 2 यूनिक्स

धन्यवाद, @ WinEunuuchs2Unix। मैं हर दिन, हर समय सीख रहा हूं ...
Ano Nyma

1

आपको अपने पैकेज का उपयोग करके अपग्रेड करना होगा apt-get:

sudo apt-get update && sudo apt-get dist-upgrade

इसके अलावा आप livepach सेवा को सक्षम कर सकते हैं :

संयोगवश, भेद्यता प्रकाशित होने से ठीक पहले, हमने Ubuntu 16.04 LTS के लिए Canonical Livepatch सेवा जारी की। उन हजारों उपयोगकर्ताओं ने जो अपने Ubuntu 16.04 LTS सिस्टम पर कैनोनिकल-लाइवपैच को सक्षम किया, उन पहले कुछ घंटों के साथ प्राप्त हुए और डर्टी कॉट पर फिक्स को लागू किया, स्वचालित रूप से, बैकग्राउंड में, और रिबूट किए बिना!

  1. Https://ubuntu.com/livepatch पर जाएं और अपना लाइवपैच टोकन प्राप्त करें। कैनोनिकल-लाइवपैच स्नैप इंस्टॉल करें

    $ sudo snap install canonical-livepatch

  2. अपने टोकन के साथ सेवा को सक्षम करें

    $ sudo विहित-सजीव सक्षम [TOKEN]

  3. किसी भी समय स्थिति की जाँच करें:

    $ विहित-सजीव स्थिति --verbose

  4. अपग्रेड

    `$ sudo उपयुक्त अप्राप्य-उन्नयन स्थापित करें

  5. उबंटू के पुराने संस्करण (या उबंटू सिस्टम जो 16.04 में अपग्रेड किए गए हैं) को इस व्यवहार को सक्षम करने की आवश्यकता हो सकती है:

    $ sudo dpkg-unattended- अपग्रेड को फिर से कॉन्फ़िगर करें

`


आपका शब्द यह ध्वनि की तरह आप विहित के लिए काम करते हैं, यदि ऐसा है तो अंदरूनी जानकारी के लिए धन्यवाद बनाता है :)
WinEunuuchs2Unix

@ WinEunuuchs2Unix सिर्फ एक नौसिखिया लिनक्स उपयोगकर्ता :)
GAD3R

ओह, वैसे भी आपके उत्तर के लिए धन्यवाद। मुझे डर है कि आपको घर पहुंचने तक 11 घंटे के लिए एक कैनन कर्मचारी होने की झूठी टिप्पणी के साथ रहना होगा और मैं इसे अपने कंप्यूटर से हटा सकता हूं।
विनयुनुच्स

$ sudo snap install canonical-livepatch error: cannot install "canonical-livepatch": snap not foundमदद?
हर्षे गेमर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.