CVE-2021-3493漏洞应急响应方案
CVE-2021-3493是一个存在于Linux内核中的权限提升漏洞,影响了多个版本的内核。该漏洞属于本地提权漏洞,攻击者可以利用它从普通用户权限提升到root权限。
漏洞分析
此漏洞源于内核中的__audit_free()函数在处理审计记录时存在释放后使用(Use-After-Free)问题。当系统启用了审计功能且执行特定操作时,可能导致内存被非法访问。
应急响应步骤
- 首先检查内核版本:
uname -r
- 确认是否受影响的版本(如4.10-4.18等)
- 临时禁用审计功能以阻止利用:
# 临时关闭审计服务
sudo systemctl stop auditd
sudo systemctl disable auditd
# 或者在内核启动参数中禁用
- 配置grub禁用audit:
# 编辑/etc/default/grub
GRUB_CMDLINE_LINUX="audit=0"
# 更新grub配置
sudo update-grub
- 应急修复后重启系统。
持续监控
建议使用如下命令持续监控系统状态:
# 检查内核日志
journalctl -k | grep -i audit
# 监控异常进程
ps aux | grep -v "grep" | grep "auditd"
最终修复
推荐升级到已修复的内核版本,如4.19.183或更高版本。
参考配置示例
# /etc/sysctl.conf 添加:
sysctl -w kernel.yama.ptrace_scope=2
讨论