Как Cloudflare ответила на уязвимость "Copy Fail" в Linux

Введение

Уязвимость "Copy Fail" представляет собой локальную уязвимость повышения привилегий в ядре Linux, которая позволяет злоумышленнику получить повышенные привилегии на системе. Cloudflare, оперирующая глобальной инфраструктурой серверов Linux, сразу же приступила к оценке уязвимости и проверке готовности своих систем.

Подробности

Cloudflare использует собственный сборочный процесс ядра Linux на основе версий с долгосрочной поддержкой (LTS) сообщества. Это позволяет эффективно управлять обновлениями на огромном масштабе, с данными центрами, расположенными более чем в 330 городах. Наша инфраструктура использует несколько версий LTS, таких как 6.12 или 6.18, которые получают обновления безопасности и стабильности от сообщества. Уязвимость "Copy Fail" связана с внутренним криптографическим API ядра Linux, который управляет функциями, такими как kTLS и IPsec. Злоумышленник может использовать уязвимость, манипулируя механизмом страниц памяти и системным вызовом splice(), чтобы выполнить произвольный код на системе.

Что делать

Чтобы смягчить уязвимость "Copy Fail", Cloudflare рекомендует обновить ядро Linux до последней версии, содержащей патч безопасности. Кроме того, рекомендуется включить механизмы безопасности, такие как MFA и VPN, чтобы снизить риск атак на систему. Также важно регулярно обновлять системы и проводить сканирование уязвимостей, чтобы обнаружить потенциальные проблемы безопасности. Итог: Благодаря готовности и эффективным процедурам обновления, Cloudflare смогла смягчить уязвимость "Copy Fail" без каких-либо последствий для своих клиентов. Это подчеркивает важность регулярных обновлений и сканирования уязвимостей для обеспечения безопасности систем.

Источник: Cloudflare Blog (Security)