2022年03月07日,国外安全研究员披露了一个Linux内核本地权限提升漏洞CVE-2022-0847。攻击者通过利用此漏洞可进行任意可读文件重写,将普通权限用户提升到root权限。漏洞作者将此漏洞命名为“Dirty Pipe”。目前网上已有公开的漏洞利用工具PoC。
漏洞信息
漏洞编号:CVE-2022-0847
漏洞评级:高危
影响范围:Linux内核版本大于等于5.8,或小于等于5.16.11/5.15.25/5.10.102
修复建议
阿里云强烈建议您关注该漏洞相关应用和系统的更新,及时更新组件至最新版本,或使用相关应用、系统的自动更新机制。
阿里云Alibaba Cloud Linux 3操作系统的内核版本已修复至安全版本。具体修复版本信息为Alibaba Cloud Linux 3:kernel-5.10.84-10.3.al8。
其他版本,请参考发行版本官方公告,将Linux内核升级至安全版本:
Ubuntu公告
Redhat公告
Debian公告
部分操作系统的升级命令如下:
警告
此过程需要重新启动您的服务器,请您在升级之前保存好您的数据。如果因您未保存数据导致重启服务器后出现数据丢失等问题,阿里云将不承担责任。
如果您的操作系统为CentOS,可以采用如下命令进行内核升级:
sudo yum update -y kernel重启之后,您可以使用如下命令查看您的内核是否升级到安全版本:
sudo uname -r相关链接
The Dirty Pipe Vulnerability
公告方
阿里云计算有限公司