尊敬的客户:
2022年03月07日,阿里云关注到关于 Linux 内核本地提权漏洞的安全问题(CVE-2022-0847),已于第一时间启动安全风险治理,目前经过阿里云安全团队确认,阿里云内部系统和专有云产品均不受影响,阿里云Alibaba Cloud Linux 3及部分容器服务实例受影响。阿里云会持续监控此问题的更新,保障与此漏洞相关的云产品及云服务的安全性,让广大用户放心使用。
阿里云强烈建议客户关注该漏洞相关应用和系统的更新,及时更新组件至最新版本,或使用相关应用、系统的自动更新机制。
更新时间:2022年03月08日
云服务器ECS
(1)影响范围:漏洞影响Alibaba Cloud Linux 3的5.10内核的操作系统。
(2)修复计划:阿里云将于03月08日发布Alibaba Cloud Linux 3内核修复补丁,更新Alibaba Cloud Linux 3的yum源。请您在yum源更新后,及时升级系统内核版本修复该漏洞。
容器服务ACK
(1)影响范围:漏洞影响主要涉及宿主机使用Alibaba Cloud Linux 3版本的容器服务实例。
(2)修复计划:阿里云将于03月08日发布Alibaba Cloud Linux 3内核修复补丁,更新Alibaba Cloud Linux 3的yum源。请您在yum源更新后,及时升级系统内核版本修复该漏洞。
【漏洞描述】
2022年03月07日,国外安全研究员披露了一个Linux 内核本地提权漏洞 CVE-2022-0847,攻击者通过利用此漏洞可进行任意可读文件重写,将普通权限用户提升到 root权限。漏洞作者将此漏洞命名为“Dirty Pipe”。目前网上已有公开的漏洞利用工具PoC。
【漏洞等级】
CVSS评分:7.8 高危
【影响版本】
5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102
【安全建议】
1、阿里云强烈建议客户关注该漏洞相关应用和系统的更新,及时更新组件至最新版本,或使用相关应用、系统的自动更新机制。
2、开源操作系统修复方案请您及时关注开源系统开发商的修复情况,有相关修复漏洞补丁包发布后,请您及时更新。
3、注意此过程需要重新启动您的机器,请您升级之前做好各项数据保存。
【相关链接】
国外研究员原始披露链接:https://dirtypipe.cm4all.com/
ubuntu公告:https://ubuntu.com/security/CVE-2022-0847
redhat公告:https://access.redhat.com/security/cve/cve-2022-0847
Debian公告:https://security-tracker.debian.org/tracker/CVE-2022-0847
我们会关注后续进展,请随时关注官方公告。如果您需要更多详细信息或帮助,请联系阿里云客服咨询。