服务公告
CVE-2016-10229:Linux 内核远程代码执行漏洞安全预警
2017-04-15
一、概要
Linux4.5之前的内核允许远程攻击者通过UDP,在带有MSG_PEEK标志位的recv系统调用中触发不安全的二次校验和计算(second checksum calculation),可造成任意代码执行,从而导致攻击者获取Linux操作系统控制权限或拒绝服务。
二、漏洞级别
漏洞级别:严重。(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
Red Hat 5/6/7版本不受此漏洞影响
SUSE 11及以后版本不受影响
欧拉系统不受此漏洞影响
其他受影响的版本如下:
Linux kernel: 2.6.39 2.6.38 2.6.37 2.6.36 2.6.35 2.6.34 2.6.32.9 2.6.32 2.6.315 2.6.3113 2.6.31.2 2.6.31.11 2.6.31 2.6.29.1 2.6.29 2.6.28.9 2.6.28.8 2.6.28.6 2.6.28.5 2.6.28.3 2.6.28.2 2.6.28.1 2.6.28 2.6.276 2.6.273 2.6.2712 2.6.27.8 2.6.27.5 2.6.27.46 2.6.27.24 2.6.27.14 2.6.27.13 2.6.27.12 2.6.27 2.6.267 2.6.26.6 2.6.26.4 2.6.26.3 2.6.26 2.6.2519 2.6.25.9 2.6.25.8 2.6.25.7 2.6.25.6 2.6.25.5 2.6.25.15 2.6.25.13 2.6.25.12 2.6.25.11 2.6.25.10 2.6.25 2.6.24.2 2.6.24.1 2.6.24 2.6.23.7 2.6.23.6 2.6.23.5 2.6.23.4 2.6.23.3 2.6.23.2 2.6.23 2.6.22.8 2.6.22.7 2.6.22.6 2.6.22.5 2.6.22.4 2.6.22.3 2.6.22.2 2.6.22.17 2.6.22.16 2.6.22.15 2.6.22.14 2.6.22.13 2.6.22.12 2.6.22.11 2.6.22.1 2.6.22 2.6.214 2.6.21.7 2.6.21.6 2.6.21.3 2.6.21.2 2.6.21.1 2.6.21 2.6.20.9 2.6.20.8 2.6.20.7 2.6.20.6 2.6.20.5 2.6.20.4 2.6.20.15 2.6.20.14 2.6.20.12 2.6.20.10 2.6.20.1 2.6.20 2.6.19.4 2.6.19.3 2.6.19.2 2.6.19.1 2.6.19 2.6.18.8 2.6.18.7 2.6.18.6 2.6.18.5 2.6.18.4 2.6.18.3 2.6.18.2 2.6.18.1 2.6.17.9 2.6.17.8 2.6.17.7 2.6.17.6 2.6.17.5 2.6.17.4 2.6.17.3 2.6.17.2 2.6.17.14 2.6.17.13 2.6.17.12 2.6.17.11 2.6.17.10 2.6.17.1 2.6.17 2.6.1627 2.6.1613 2.6.16.9 2.6.16.8 2.6.16.7 2.6.16.6 2.6.16.53 2.6.16.52 2.6.16.51 2.6.16.50 2.6.16.5 2.6.16.49 2.6.16.48 2.6.16.47 2.6.16.46 2.6.16.45 2.6.16.44 2.6.16.43 2.6.16.41 2.6.16.40 2.6.16.4 2.6.16.39 2.6.16.38 2.6.16.37 2.6.16.36 2.6.16.35 2.6.16.34 2.6.16.33 2.6.16.32 2.6.16.31 2.6.16.30 2.6.16.3 2.6.16.29 2.6.16.28 2.6.16.27 2.6.16.26 2.6.16.25 2.6.16.24 2.6.16.23 2.6.16.22 2.6.16.21 2.6.16.20 2.6.16.2 2.6.16.19 2.6.16.18 2.6.16.17 2.6.16.16 2.6.16.15 2.6.16.14 2.6.16.12 2.6.16.11 2.6.16.10 2.6.16.1 2.6.16 2.6.15.7 2.6.15.6 2.6.15.4 2.6.15.3 2.6.15.2 2.6.15.1 2.6.15 2.6.14.7 2.6.14.6 2.6.14.5 2.6.14.4 2.6.14.3 2.6.14.2 2.6.14.1 2.6.14 2.6.13.5 2.6.13.4 2.6.13.3 2.6.13.2 2.6.13.1 2.6.13 2.6.12.6 2.6.12.5 2.6.12.4 2.6.12.3 2.6.12.22 2.6.12.2 2.6.12.12 2.6.12.1 2.6.12 2.6.11.9 2.6.11.8 2.6.11.7 2.6.11.6 2.6.11.5 2.6.11.4 2.6.11.3 2.6.11.2 2.6.11.12 2.6.11.11 2.6.11.10 2.6.11.1 2.6.11 2.6.10 2.6.9 2.6.8 2.6.7 2.6.6 2.6.5 2.6.4 2.6.2 2.6.1 2.6 2.6.8.1 2.6.38.6 2.6.38.4 2.6.38.3 2.6.38.2 2.6.37.2 2.6.35.5 2.6.35.4 2.6.35.13 2.6.35.1 2.6.34.3 2.6.34.2 2.6.34.14 2.6.34.13 2.6.34.1 2.6.32.8 2.6.32.7 2.6.32.62 2.6.32.61 2.6.32.60 2.6.32.6 2.6.32.5 2.6.32.4 2.6.32.3 2.6.32.28 2.6.32.22 2.6.32.2 2.6.32.18 2.6.32.17 2.6.32.16 2.6.32.15 2.6.32.14 2.6.32.13 2.6.32.12 2.6.32.11 2.6.32.10 2.6.32.1 2.6.31.6 2.6.31.4 2.6.31.1 2.6.30.5 2.6.30.4 2.6.30.3 2.6.28.4 2.6.28.10 2.6.27.54 2.6.27.51 2.6.27.49 2.6.27.26 2.6.26.1 2.6.25.4 2.6.25.3 2.6.25.2 2.6.25.1 2.6.24.6 2.6.24.4 2.6.24.3 2.6.23.14 2.6.23.10 2.6.23.1 2.6.23.09 2.6.20.3 2.6.20.2 2.6.20.13 2.6.20.11 2.6.20-2 2.6.18.1 2.6.18 2.6.16.9 2.6.16.7 2.6.16.19 2.6.16.13 2.6.16.12 2.6.16.11 2.6.15.5 2.6.15.4 2.6.15.11 2.6.15-27.48 2.6.14.3 2.6.14.2 2.6.14.1 2.6.13.4 2.6.13.3 2.6.13.2 2.6.13.1 2.6.12.6 2.6.12.5 2.6.12.4 2.6.12.3 2.6.12.2 2.6.12.1 2.6.11.8 2.6.11.7 2.6.11.6 2.6.11.5 2.6.11.4 2.6.11.12 2.6.11.11
Linux kernel: 3.0.98 3.0.75 3.0.72 3.0.69 3.0.65 3.0.60 3.0.59 3.0.58 3.0.37 3.0.34 3.0.5 3.0.4 3.0.2 3.0.1 3.0.66 3.0.62 3.0.18
Linux kernel: 3.1.8
Linux kernel: 3.10.90 3.10.81 3.10.73 3.10.45 3.10.41 3.10.38 3.10.37 3.10.36 3.10.30 3.10.27 3.10.26 3.10.23 3.10.22 3.10.21 3.10.14 3.10.10 3.10.9 3.10.7 3.10.5 3.10.43 3.10.31 3.10.20 3.10.17
Linux kernel: 3.11.3 3.11.9 3.11.6
Linux kernel: 3.12.49 3.12.48 3.12.44 3.12.40 3.12.21 3.12.18 3.12.17 3.12.16 3.12.11 3.12.7 3.12.4 3.12.3 3.12.2 3.12.22 3.12.15 3.12.14 3.12.12 3.12.1
Linux kernel: 3.13.11 3.13.9 3.13.3 3.13.1 3.13.7 3.13.6 3.13.5 3.13.4 3.13.0
Linux kernel: 3.14.54 3.14.45 3.14.37 3.14.4 3.14.3 3.14.2 3.14.79 3.14.73 3.14.7 3.14.5
Linux kernel: 3.15.10 3.15.5 3.15.2
Linux kernel: 3.16.7 3.16.2 3.16.1 3.16.6 3.16.36
Linux kernel: 3.17.4 3.17.2 3.17.6
Linux kernel: 3.18.22 3.18.17 3.18.11 3.18.8 3.18.7 3.18.3 3.18.2 3.18.1 3.18.9
Linux kernel: 3.19.3
Linux kernel: 3.2.82 3.2.72 3.2.62 3.2.57 3.2.56 3.2.51 3.2.24 3.2.23 3.2.13 3.2.12 3.2.9 3.2.1 3.2.81 3.2.78 3.2.65 3.2.64 3.2.63-2 3.2.63 3.2.60 3.2.55 3.2.54 3.2.53 3.2.52 3.2.50 3.2.44 3.2.42 3.2.38 3.2.2
Linux kernel: 3.3.5 3.3.4 3.3.2
Linux kernel: 3.4.88 3.4.87 3.4.86 3.4.80 3.4.76 3.4.73 3.4.72 3.4.71 3.4.64 3.4.58 3.4.42 3.4.36 3.4.32 3.4.31 3.4.27 3.4.26 3.4.25 3.4.21 3.4.20 3.4.19 3.4.18 3.4.17 3.4.16 3.4.15 3.4.14 3.4.13 3.4.12 3.4.11 3.4.10 3.4.9 3.4.8 3.4.7 3.4.6 3.4.5 3.4.4 3.4.3 3.4.2 3.4.1 3.4.93 3.4.81 3.4.70 3.4.67 3.4.29
Linux kernel: 3.5.7 3.5.6 3.5.5 3.5.4 3.5.3 3.5.2 3.5.1
Linux kernel: 3.6.11 3.6.10 3.6.9 3.6.8 3.6.7 3.6.6 3.6.5 3.6.4 3.6.3 3.6.2 3.6.1
Linux kernel: 3.7.10 3.7.9 3.7.8 3.7.7 3.7.5 3.7.4 3.7.3 3.7.2 3.7.1 3.7.6
Linux kernel: 3.8.9 3.8.6 3.8.5 3.8.4 3.8.2 3.8.1
Linux kernel: 3.9.8 3.9.4
Linux kernel: 4.0.6 4.0.5
Linux kernel: 4.1.4 4.1.1 4.1.15
Linux kernel: 4.10.6 4.10.4 4.10.7 4.10.5 4.10.2
Linux kernel: 4.2.3 4.2.8
Linux kernel: 4.3.3
Linux kernel: 4.4.30 4.4.29 4.4.28 4.4.27 4.4.25 4.4.24 4.4.23 4.4.22 4.4.7 4.4.2 4.4.38 4.4.26 4.4.14 4.4.1
Linux kernel 3.10
Linux kernel 2.6
Linux kernel 4.4
Linux kernel 4.2
Linux kernel 4.11
Linux kernel 4.1
Linux kernel 4.0
Linux kernel 3.9
Linux kernel 3.8
Linux kernel 3.7
Linux kernel 3.6
Linux kernel 3.5
Linux kernel 3.4
Linux kernel 3.3
Linux kernel 3.2
Linux kernel 3.19
Linux kernel 3.18
Linux kernel 3.17
Linux kernel 3.16
Linux kernel 3.15
Linux kernel 3.14-4
Linux kernel 3.14-1
Linux kernel 3.14
Linux kernel 3.13-rc1
Linux kernel 3.13
Linux kernel 3.12
Linux kernel 3.11
Linux kernel 3.10
Linux kernel 3.1
Linux kernel 3.0
Linux Kernel 3.4.70
Linux Kernel 3.2.52
Linux Kernel 3.12.1
Linux Kernel 3.11.9
Linux Kernel 3.10.20
Linux Kernel 3.4.33
Google Pixel XL 0
Google Pixel C 0
Google Pixel 0
Google Nexus Player 0
Google Nexus 9
Google Nexus 6P
Google Nexus 6
Google Nexus 5X
Google Android One 0
Google Android 0
四、排查方法
uname –a 检查内核版本是否在影响范围内;
五、安全建议
1)建议用户通过系统更新到最新发行版修复此漏洞。
2)临时规避,使用安全组禁止入方向UDP访问,即配置白名单,入方向只允许TCP+特定端口访问,如下图所示:
注意:修复漏洞前请将资料备份,并进行充分测试。
