Linux内核权限提升漏洞公告(CVE-2024-1086)
漏洞详情
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
本地提权 |
严重 |
2024-01-31 |
漏洞影响
Linux系统内核在3.15-6.8中的netfilter: nf_tables组件存在释放后重利用漏洞,nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误,当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时,nf_hook_slow() 函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。
该漏洞是一个本地提权漏洞,需要攻击者先渗透到集群的node节点,利用难度较高。
判断方法
- 如果集群node节点OS是CentOS 7.6、Huawei Cloud EulerOS 1.1,由于内核版本低于3.15,不在漏洞影响范围内。
- 对于Huawei Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,采用如下命令查看内核版本:
uname -a
若查询结果在3.15-6.8之间,则受该漏洞影响。
漏洞消减方案
建议容器工作负载设置seccomp,示例如下:
针对Huawei Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,相关团队和CCE已修复该问题,请关注操作系统镜像版本说明。
在发布修复的OS镜像后,新建集群、节点默认修复该漏洞,存量节点可通过重置节点修复。若集群版本已经EOS,需先升级集群版本。