CVE-2021-3955漏洞修复测试记录
漏洞背景
CVE-2021-3955是一个影响Linux内核的权限提升漏洞,主要存在于net/ipv4/tcp_input.c文件中。该漏洞允许本地攻击者通过构造特定的TCP数据包,在系统中获取root权限。
修复过程
在升级到内核版本5.13.19后,我们对系统进行了安全加固测试。使用以下命令验证修复状态:
# 检查内核版本
uname -r
# 检查是否存在漏洞相关模块
lsmod | grep tcp
问题复现
然而,在修复后发现,某些服务启动时出现异常:
# 使用strace追踪异常进程
strace -p <pid>
# 查看系统日志
journalctl -u <service-name> --since "1 hour ago"
修复方案
通过对比修复前后的内核配置,我们发现以下安全参数需要调整:
# 禁用不必要功能
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# 启用内核防护机制
echo 1 > /proc/sys/kernel/kptr_restrict
建议使用sysctl命令进行持久化配置:
# 编辑sysctl配置文件
vim /etc/sysctl.conf
# 添加以下行
net.ipv4.conf.all.send_redirects = 0
kernel.kptr_restrict = 1
# 应用配置
sysctl -p
讨论