18 сентября 2010 г.

Советы по безопасности AMI Amazon Linux: «Советы ALAS-2010-1», дата выпуска: 17 сентября 2010 г. Ссылки: CVE-2010-3081, CVE-2010-3301. Степень серьезности: «Важно».

Общие сведения о проблеме:
Из-за ошибки в ядре Linux процессы, не имеющие разрешений, могут получать права root на 64-разрядных ядрах через поддержку 32-разрядных системных вызовов.

Затронутые версии:
64-разрядные образы AMI Amazon Linux версии 0.9.7-beta

Идентификаторы AMI

Восток США (Северная Вирджиния)
С поддержкой Amazon EBS (64-разрядные): ami-0af30663
С поддержкой Amazon S3 (64-разрядные): ami-d8f005b1

Запад США (Северная Калифорния)
С поддержкой Amazon EBS (64-разрядные): ami-8ce4b5c9
С поддержкой Amazon S3 (64-разрядные): ami-f2e4b5b7

Идентификаторы AMI, запад ЕС (Ирландия)
С поддержкой Amazon EBS (64-разрядные): ami-5092b824
С поддержкой Amazon S3 (64-разрядные): ami-8a9db7fe

Идентификаторы AMI, юго-восток Азиатско-Тихоокеанского региона (Сингапур)
С поддержкой Amazon EBS (64-разрядные): ami-de26588c
С поддержкой Amazon S3 (64-разрядные): ami-d2265880



Выполнение инстансов этих AMI можно выявить, просмотрев файл /etc/image-id, который будет содержать следующую строку:
image_version=”0.9.7-beta”


Устранение проблемы

Эта проблема устранена в AMI Amazon Linux версии 0.9.8-beta (64-разрядной) и более поздних.

Проблему для затронутых систем можно устранить либо путем обновления пакетов на запущенных инстансах, либо путем прекращения работы затронутых инстансов и последующего запуска с обновленными AMI.
Для устранения проблемы достаточно выполнить обновление до пакета следующей версии:

kernel-2.6.34.6-54.24.amzn1.x86_64.rpm

После установки пакета с ядром необходимо отредактировать файл boot/grub/grub.conf, установив обновленное ядро для загрузки по умолчанию.

После обновления запущенного инстанса необходимо выполнить перезагрузку, чтобы инстанс запустил новое ядро, после чего проблема будет устранена.

Идентификаторы AMI с обновленными пакетами для устранения проблемы:

Восток США (Северная Вирджиния)
С поддержкой Amazon EBS (64-разрядные): ami-38c33651
С поддержкой Amazon S3 (64-разрядные): ami-8cc035e5

Запад США (Северная Калифорния)
С поддержкой Amazon EBS (64-разрядные): ami-aaebbaef
С поддержкой Amazon S3 (64-разрядные): ami-acebbae9

Идентификаторы AMI, запад ЕС (Ирландия)
С поддержкой Amazon EBS (64-разрядные): ami-807540f4
С поддержкой Amazon S3 (64-разрядные): ami-927540e6

Идентификаторы AMI, юго-восток Азиатско-Тихоокеанского региона (Сингапур)
С поддержкой Amazon EBS (64-разрядные): ami-d8225c8a
С поддержкой Amazon S3 (64-разрядные): ami-d0225c82



Слова благодарности:
Впервые об этих уязвимостях сообщил Бен Хоукс