Kernel Local Privilege Escalation "Dirty COW" - CVE-2016-5195

SYSTEMTAP을 통한 해결 방법 구축 및 사용 방법

systemtap을 통해 취약한 시스템 호출을 가로채는 systemtap 스크립트를 사용하여 커널 모듈 (예: 드라이버)을 생성합니다. 이는 수정된 커널이 영향을 받은 시스템에서 시작될 때 까지 임시 솔루션으로 사용됩니다. 이 솔루션은 재부팅해야 할 필요가 없으며 RHEL 5, 6, 7에 적용됩니다.

모든 커널에 적용할 수 있는 모듈을 만드는 것은 불가능합니다. 심지어 제품군 (예: 모든 RHEL5, 6, 7)이라도 불가능합니다. 각 커널 버전마다 커널 (uname -r)의 .ko를 생성해야 합니다.

요구 사항

systemtap 모듈 빌드에는 다음과 같은 패키지가 필요합니다:

• systemtap-client
• systemtap-devel
• gcc (및 종속 패키지)
• kernel-devel-`uname -r`
• kernel-debuginfo-`uname -r`
• kernel-debuginfo-common-`uname -r`

경고: 'kernel' 패키지는 실행 중인 커널과 동일한 버전이어야 합니다. 최신 버전을 다운로드하면 systemtap이 작동하지 않을 수 있습니다. 실행 중인 커널과 정확히 동일한 버전을 다운로드하시기 바랍니다.

debuginfo 패키지 받는 방법

다음의 지식 베이스 https://access.redhat.com/solutions/9907 에서 참조하시기 바랍니다.

모듈 빌드 방법

1. 패키지 설치 후 다음의 내용이 포함된 dirtycow.stp라는 파일을 만듭니다.

probe kernel.function("mem_write").call ? {
        $count = 0
}

probe syscall.ptrace {  // includes compat ptrace as well
        $request = 0xfff
}

probe begin {
        printk(0, "CVE-2016-5195 mitigation loaded")
}


probe end {
        printk(0, "CVE-2016-5195 mitigation unloaded")
}
										

2. 파일을 저장합니다. 다음 명령을 사용하여 파일을 컴파일합니다:

# stap -g -p 4 -m dirtycow_`uname -r|tr -cd [:digit:]` dirtycow.stp
dirtycow_26183985.ko
											

위의 예에서 .ko 파일에는 커널 버전 식별 번호가 있습니다. 이경우 2.6.18-398.el5가 됩니다. 이 모듈은 debugs/debuginfos/systemtap을 설치하지 않고 정확히 동일한 커널 버전의 다른 시스템에서 사용할 수 있습니다. 동일한 커널을 사용하여 서버에 파일을 복사하고 다음 단계로 이동합니다.

3. 다음 명령 insmod <.ko file>을 실행하여 모듈을 로드합니다. 예:

# insmod dirtycow_26183985.ko
												

4. 다음을 실행하여 모듈이 로드되었는지 확인합니다:

# lsmod| grep dirty
dirtycow_26183985   101688  0
													

5. 모듈을 언로드하려면 rmmod 명령을 사용하거나 시스템을 다시 시작합니다.

중요

• 재부팅 후 모듈은 남아 있지 않게 됩니다: 시스템 부팅 후 다시 로드되지 않습니다.
• 재부팅 후 수동으로 모듈을 다시 로드해야 합니다.
• 커널이 업데이트 또는 수정되어 있을 경우 이 모듈은 새로운 커널에 로드되지 않습니다.
• 수정하지 않고 다른 커널에 부팅할 경우 새로운 호환 모듈이 로드되어야 합니다.
• 수정된 커널 모듈을 로드할 필요가 없습니다.