2022年03月07日,国外安全研究员披露了一个Linux内核本地权限提升漏洞CVE-2022-0847。攻击者通过利用此漏洞可进行任意可读文件重写,将普通权限用户提升到root权限。漏洞作者将此漏洞命名为“Dirty Pipe”。目前网上已有公开的漏洞利用工具PoC。

漏洞信息

  • 漏洞编号:CVE-2022-0847
  • 漏洞评级:高危
  • 影响范围:Linux内核版本大于等于5.8,或小于等于5.16.11/5.15.25/5.10.102

修复建议

阿里云强烈建议您关注该漏洞相关应用和系统的更新,及时更新组件至最新版本,或使用相关应用、系统的自动更新机制。

阿里云Alibaba Cloud Linux 3操作系统的内核版本已修复至安全版本。具体修复版本信息为Alibaba Cloud Linux 3:kernel-5.10.84-10.3.al8。

其他版本,请参考发行版本官方公告,将Linux内核升级至安全版本:
部分操作系统的升级命令如下:
警告 此过程需要重新启动您的服务器,请您在升级之前保存好您的数据。如果因您未保存数据导致重启服务器后出现数据丢失等问题,阿里云将不承担责任。
如果您的操作系统为CentOS,可以采用如下命令进行升级内核:
sudo yum update -y kernel
重启之后,您可以使用如下命令查看您的内核是否升级到安全版本:
sudo uname -r

相关链接

The Dirty Pipe Vulnerability

公告方

阿里云计算有限公司