CVE-2021-22600
Linux Kernel
2022-04-11
Linux Kernel contains a flaw in the packet socket (AF_PACKET) implementation which could lead to incorrectly freeing memory. A local user could exploit this for denial-of-service (DoS) or possibly for privilege escalation.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (ошибка use-after-free) в подсистеме пакетных сокетов (AF_PACKET) ядра Linux. Локальный злоумышленник может отправить специально сформированный пакет, что приведет к некорректному освобождению памяти (kernel panic) и отказу в обслуживании (DoS). В теории, возможна эскалация привилегий.
Как исправить
Обновите ядро Linux до исправленной версии. Конкретная команда зависит от дистрибутива:
-
Для Ubuntu/Debian:
bash sudo apt update && sudo apt upgrade linux-image-$(uname -r)Требуемые версии ядра:- Ubuntu 20.04 LTS (Focal):
5.4.0-66.74или выше - Ubuntu 18.04 LTS (Bionic):
4.15.0-136.140или выше - Debian 10 (Buster):
4.19.181-1или выше
- Ubuntu 20.04 LTS (Focal):
-
Для RHEL/CentOS/Fedora:
bash sudo yum update kernelТребуемые версии ядра:- RHEL/CentOS 8:
kernel-4.18.0-240.15.1.el8_3или выше - RHEL/CentOS 7:
kernel-3.10.0-1160.15.2.el7или выше
- RHEL/CentOS 8:
После обновления перезагрузите систему:
sudo reboot
Временное решение
Если немедленное обновление невозможно, ограничьте использование уязвимого функционала, отключив модуль packet для непривилегированных пользователей:
-
Ограничение через
sysctl(действует до перезагрузки):bash sudo sysctl -w kernel.unprivileged_userns_clone=0 sudo sysctl -w kernel.unprivileged_bpf_disabled=1 -
Постоянное ограничение через конфигурационный файл: Создайте или отредактируйте файл
/etc/sysctl.d/99-cve-2021-22600.conf:bash kernel.unprivileged_userns_clone = 0 kernel.unprivileged_bpf_disabled = 1Примените настройки:bash sudo sysctl -p /etc/sysctl.d/99-cve-2021-22600.conf
Важно: Это временная мера, которая может нарушить работу некоторых легитимных приложений (например, Docker, Chrome в sandbox-режиме). Приоритетом должно быть обновление ядра.