Локальное решение проблемы c PERF_EVENTS
недавно нашумевшая уязвимость CVE-2013-2094 связанная с PERF_EVENTS лечится установкой sysctl переменных kernel.perf_event_paranoid и kernel.perf_event_max_sample_rate# sysctl -w kernel.perf_event_paranoid=2
# sysctl -w kernel.perf_event_max_sample_rate=-1
В результате, эксплуатация уязвимости становится затруднительной (к сожалению, решение не является 100%-гарантией от узвимости):
Напоминаю проверить наличие уязвимости можно с помощью проверки опций собранных в ядре:
$ grep PERF_EVENTS /boot/config-$( uname -r )
CONFIG_HAVE_PERF_EVENTS=y
CONFIG_PERF_EVENTS=y
CONFIG_HAVE_PERF_EVENTS_NMI=y
или через /proc/config.gz если такой имеется:
$ zgrep PERF_EVENTS /proc/config.gz
CONFIG_HAVE_PERF_EVENTS=y
CONFIG_PERF_EVENTS=y
CONFIG_HAVE_PERF_EVENTS_NMI=y
Если опции включены, высока вероятность что система под ударом.
На главную "Virtualizing Linux"
Комментариев нет:
Отправить комментарий