本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用 Linux Filesystem 的 size_t-to-int 類型轉換進行權限提升。其中無特權 (root) 的惡意使用者會利用大於 1GB 的長路徑掛載到 Linux 的 Filesystem 中,造成緩衝區溢出產生惡意提權。
由 PCI DSS 合規角度切入,核心考量點為作業系統帳戶的安全性 ,從是否需要登入主機的角度切入,限制非必要使用者登入進行目錄掛載、eBPF 使用等。並且安裝適用的安全補丁,如有重大風險應於 30 天內完成 Patch 更新 。
作業系統帳戶的安全性 (PCI DSS Req. 2.1) – 驗證本機的所有不必要的預設帳戶已被刪除或停用。檢查目前所有的機器預設帳戶是否已被刪除或停用,可檢查 /etc/password 內的帳戶設定是否已刪除或是配置 nologin,避免不必要使用者可登入進行惡意漏洞利用攻擊。
重大風險應於 30 天內完成 Patch 更新 (PCI DSS Req. 6.2) – 安裝適用的供應商安全補丁,確保所有系統組件和軟件免受已知漏洞的影響。如供應商發布 Patch 後,應在發布後的一個月內安裝關鍵的安全補丁。
檢查目前作業系統供應商是否有釋出相關 Patch,並盡可能安排時間於一個月內完成作業系統 Patch。如作業系統供應商尚未發布 Patch 則應實施緩解措施。
目前各家系統提供商正如火如荼的發布更新 Patch 來解決這次由 Qualys 安全研究團隊所發布的漏洞 (CVE-2021-33909)。目前收集的風險判定 Patch 參考清單可參考下方整理表格:
資料於 2021年 9月 10日更新
Qualys 安全研究團隊目前已經驗證了成功取得 root 權限的漏洞作業系統包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作業系統也可能因為這次的漏洞產生惡意利用攻擊。Linux Server 版本所對應的安全補丁整理:
資料於 2021年 9月 10日更新
如 Patch 尚未出現,可先採用的緩解做法。
sysctl kernel.unprivileged_userns_clone=1 # 將 unprivileged_userns_clone 設定為 0
sysctl kernel.unprivileged_bpf_disabled=1 # 將 unprivileged_bpf_disabled 設定為 1
技術細節請看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt
Max Tsai 安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 專業認證: PCI DSS QSA, CISSP, ISMS LA
安律信息技術有限公司 Secure Vectors Information Technologies Inc.
安律信息技術有限公司 Secure Vectors Information Technologies Inc ., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
* 如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
你可能會喜歡看
本文提供您 2024 年最新 PCI DSS 認證的標準流程,…
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2024-08-14 16:50:27 2024-08-15 07:02:25 PCI DSS 認證的流程以及合規費用說明
服務供應商 (Service Providers) 每季需依據 PCI DSS…
https://www.securevectors.com/wp-content/uploads/2023/09/PCI-DSS-v4.0-意象圖-方版.jpg
663
960
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-09-15 16:13:29 2023-09-15 16:43:19 【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?
https://www.securevectors.com/wp-content/uploads/2023/08/2023-08-01-漏洞修補意象圖-方版_繁中.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-08-15 17:35:59 2023-08-15 17:35:59 【GCP】使用 Google Cloud Build 的要小心了
https://www.securevectors.com/wp-content/uploads/2023/07/20230725-繁中-方版.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-07-31 11:01:21 2023-07-31 15:07:27 【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎? 2022年4月14日
2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 17:38:09 2022-04-15 10:11:05 2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2022/04/表單img20220330-e1649919971244.jpg
339
351
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 14:52:40 2022-04-14 16:33:20 支付產業合規新挑戰-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/h_mp06-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-08-19 15:52:25 2022-04-14 15:03:34 PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案 本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…
https://www.securevectors.com/wp-content/uploads/2021/07/Screenshot-2021-07-30-172522.jpg
345
464
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-30 17:26:37 2021-09-10 11:52:36 Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說? Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-29 18:03:39 2021-08-19 16:53:12 即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
https://www.securevectors.com/wp-content/uploads/2023/11/v2官網小圖960x663_2_0.jpg
663
960
allie.lu
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
allie.lu 2023-11-24 15:06:27 2023-12-21 12:55:50 12/12 「個人資料檔案安全維護管理辦法」如何制訂實作與合法安心
https://www.securevectors.com/wp-content/uploads/2023/10/Website-Preview.jpg
663
960
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-10-13 11:45:51 2023-10-27 09:59:42 2023 新加坡金融科技創新研討會 親愛的客戶,
您好!
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
0
0
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-08-25 17:42:51 2023-08-25 17:42:51 集團業務重整 公告
https://www.securevectors.com/wp-content/uploads/2023/05/20230609-商周翁挺耀攝影-068-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-07-18 15:19:30 2023-07-18 15:39:06 金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?
https://www.securevectors.com/wp-content/uploads/2023/05/PCI-DSS-QSA-Vincent.jpg
630
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-03-19 17:57:19 2023-07-18 15:22:08 合規共管助企業完成交易安全驗證 2022年4月14日
2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 17:38:09 2022-04-15 10:11:05 2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎? Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-29 18:03:39 2021-08-19 16:53:12 即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞 2021年7月28日
由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…
https://www.securevectors.com/wp-content/uploads/2021/07/Protect-Payment-Card-Data-1.png
1080
1920
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-28 11:23:10 2021-08-19 16:43:52 八大祕訣讓中小企業在疫情中保護信用卡資料
https://www.securevectors.com/wp-content/uploads/2018/05/table.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2018-08-29 18:44:25 2021-08-03 18:10:35 UPI 銀聯國際邀請安律信息技術参加於新加坡的UPI 3DS 2.0 Workshop 成功召開
發表評論
Want to join the discussion?Feel free to contribute!