嘿,你听说没?Linux内核里那个AppArmor模块出了点大问题,居然有九个漏洞能让非特权用户直接提权到root,连容器隔离都给你破了。这事是Qualys那个叫TRU的研究团队爆出来的,他们管这个叫CrackArmor。他们说,这问题其实2017年就有了,到现在都还没给正式的CVE编号呢。 AppArmor原本是个用来保护操作系统的强制访问控制(MAC)模块,就是通过防止程序漏洞被利用来防患未然的。自打Linux内核2.6.36以后,它就一直被集成在主线里面。 搞安全的大佬Saeed Abbasi说得挺实在,"CrackArmor"其实是利用了一种叫混淆代理的漏洞,让普通用户能通过操纵伪文件,绕过用户命名空间的限制,甚至能在内核里执行任意代码。这些漏洞要是跟Sudo或者Postfix这类工具配合起来玩,非特权用户就能很容易地把权限升到root,搞个拒绝服务攻击(DoS)。 更可怕的是,这种攻击还能绕过内核的地址空间布局随机化(KASLR)。简单来说,就是利用了一些高权限工具的信任,让没权限的人干坏事。Qualys说,哪怕你没什么权限,也能把AppArmor的配置文件给改了,把关键的服务保护给禁用掉,或者直接搞个拒绝所有策略,把整个服务给搞瘫了。 因为这些配置文件解析的内核级缺陷没补上,攻击者就能轻松绕开用户命名空间的限制,直接实现本地权限提升(LPE)拿到完全的root权限。这就好比你在自家院子里被人摸进来了一样。 更糟的是,CrackArmor让普通用户能创建功能完整的用户命名空间,直接绕过了Ubuntu本来用AppArmor设置好的限制。这下子可好了,容器隔离、最小权限这些安全保证全没了。 Qualys表示暂时不公开那个概念验证(PoC)代码,给大家留点时间先把补丁打上。这个问题影响范围很广,从版本4.11开始的所有Linux内核都有风险。要是你的发行版装了AppArmor,比如Ubuntu、Debian还有SUSE这些主流系统,那肯定也躲不开。 更要命的是有超过1260万个企业Linux实例默认装了AppArmor在跑呢。Abbasi建议赶紧打补丁才行,"临时措施完全没法跟供应商修复比安全性"。 现在有用户问了:这是什么漏洞?有啥危害?其实就是那个CrackArmor,能绕过内核保护提权搞破坏。 还有人问影响哪些系统?答案是版本4.11以后的内核基本都有问题。 至于怎么防护?最直接的就是立刻打内核补丁更新。临时招数不保险。 赶紧动手吧!