Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用 Linux Filesystem 的 size_t-to-int 類型轉換進行權限提升。其中無特權 (root) 的惡意使用者會利用大於 1GB 的長路徑掛載到 Linux 的 Filesystem 中,造成緩衝區溢出產生惡意提權。
由 PCI DSS 合規角度切入,核心考量點為作業系統帳戶的安全性,從是否需要登入主機的角度切入,限制非必要使用者登入進行目錄掛載、eBPF 使用等。並且安裝適用的安全補丁,如有重大風險應於 30 天內完成 Patch 更新。
- 作業系統帳戶的安全性 (PCI DSS Req. 2.1) – 驗證本機的所有不必要的預設帳戶已被刪除或停用。檢查目前所有的機器預設帳戶是否已被刪除或停用,可檢查 /etc/password 內的帳戶設定是否已刪除或是配置 nologin,避免不必要使用者可登入進行惡意漏洞利用攻擊。
- 重大風險應於 30 天內完成 Patch 更新 (PCI DSS Req. 6.2) – 安裝適用的供應商安全補丁,確保所有系統組件和軟件免受已知漏洞的影響。如供應商發布 Patch 後,應在發布後的一個月內安裝關鍵的安全補丁。
檢查目前作業系統供應商是否有釋出相關 Patch,並盡可能安排時間於一個月內完成作業系統 Patch。如作業系統供應商尚未發布 Patch 則應實施緩解措施。
目前各家系統提供商正如火如荼的發布更新 Patch 來解決這次由 Qualys 安全研究團隊所發布的漏洞 (CVE-2021-33909)。目前收集的風險判定 Patch 參考清單可參考下方整理表格:
| 來源 | 風險等級 |
|---|---|
| NESSUS https://www.tenable.com/cve/CVE-2021-33909 | CVSS (v2) 7.2 |
| NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909 | CVSS (v3) 7.8 |
| Redhat https://access.redhat.com/security/cve/cve-2021-33909 | CVSS (v3) 7.0 |
| CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909 | Source: MITRE |
資料於 2021年 9月 10日更新
Qualys 安全研究團隊目前已經驗證了成功取得 root 權限的漏洞作業系統包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作業系統也可能因為這次的漏洞產生惡意利用攻擊。Linux Server 版本所對應的安全補丁整理:
| 作業系統 | 安全補丁連結 |
|---|---|
| Redhat | https://access.redhat.com/security/cve/cve-2021-33909 |
| CentOS | https://centosfaq.org/centos/its-been-six-days-since-cvd-2021-33909-was-patched-in-rhel-whats-the-holdup-for-stream-8/
https://centos.pkgs.org/8-stream/centos-baseos-x86_64/kernel-4.18.0-326.el8.x86_64.rpm.html |
| SUSE | https://www.suse.com/security/cve/CVE-2021-33909.html |
| ubuntu | https://ubuntu.com/security/CVE-2021-33909 |
資料於 2021年 9月 10日更新
如 Patch 尚未出現,可先採用的緩解做法。
sysctl kernel.unprivileged_userns_clone=1 # 將 unprivileged_userns_clone 設定為 0
sysctl kernel.unprivileged_bpf_disabled=1 # 將 unprivileged_bpf_disabled 設定為 1
技術細節請看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt
Max Tsai
安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 專業認證: PCI DSS QSA, CISSP, ISMS LA
安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
- PCI 安全認證: www.securevectors.com
- SecuCollab 合規安全代管服務: www.secucollab.com
- SecuCompliance 合規管理平台: www.secucompliance.com
* 如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
你可能會喜歡看
https://www.securevectors.com/wp-content/uploads/2023/09/PCI-DSS-v4.0-意象圖-方版.jpg
663
960
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-09-15 16:13:292023-09-15 16:43:19【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?
https://www.securevectors.com/wp-content/uploads/2023/08/2023-08-01-漏洞修補意象圖-方版_繁中.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-08-15 17:35:592023-08-15 17:35:59【GCP】使用 Google Cloud Build 的要小心了
https://www.securevectors.com/wp-content/uploads/2023/07/20230725-繁中-方版.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-07-31 11:01:212023-07-31 15:07:27【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 17:38:092022-04-15 10:11:052022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2022/04/表單img20220330-e1649919971244.jpg
339
351
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 14:52:402022-04-14 16:33:20支付產業合規新挑戰-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/h_mp06-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-08-19 15:52:252022-04-14 15:03:34PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-08-02 17:49:272021-08-10 11:12:43PCI DSS 認證的流程以及合規費用說明
https://www.securevectors.com/wp-content/uploads/2021/07/Screenshot-2021-07-30-172522.jpg
345
464
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-30 17:26:372021-09-10 11:52:36Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-29 18:03:392021-08-19 16:53:12即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
https://www.securevectors.com/wp-content/uploads/2023/11/v2官網小圖960x663_2_0.jpg
663
960
allie.lu
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
allie.lu2023-11-24 15:06:272023-12-21 12:55:5012/12 「個人資料檔案安全維護管理辦法」如何制訂實作與合法安心
https://www.securevectors.com/wp-content/uploads/2023/10/Website-Preview.jpg
663
960
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-10-13 11:45:512023-10-27 09:59:422023 新加坡金融科技創新研討會
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
0
0
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-08-25 17:42:512023-08-25 17:42:51集團業務重整 公告
https://www.securevectors.com/wp-content/uploads/2023/05/20230609-商周翁挺耀攝影-068-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-07-18 15:19:302023-07-18 15:39:06金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?
https://www.securevectors.com/wp-content/uploads/2023/05/PCI-DSS-QSA-Vincent.jpg
630
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-03-19 17:57:192023-07-18 15:22:08合規共管助企業完成交易安全驗證
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 17:38:092022-04-15 10:11:052022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-29 18:03:392021-08-19 16:53:12即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
https://www.securevectors.com/wp-content/uploads/2021/07/Protect-Payment-Card-Data-1.png
1080
1920
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-28 11:23:102021-08-19 16:43:52八大祕訣讓中小企業在疫情中保護信用卡資料
https://www.securevectors.com/wp-content/uploads/2018/05/table.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-29 18:44:252021-08-03 18:10:35UPI 銀聯國際邀請安律信息技術参加於新加坡的UPI 3DS 2.0 Workshop 成功召開