Linux Copyfail 及 DirtyFrag 潛服左8年 , 終於比人發現左
官方話個kernel 已經解決左copyfail 呢個漏洞
dirtyfrag 其實可以用阻止module 上載既方法去解決 ,
打以下命令就得:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
即係:
/etc/modprobe.d/dirtyfrag.conf
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
但係對copyfail 來講, 原來RedHat 系的版本, 個問題部份係放左係kernel , 於是不能夠簡單改設定檔案來做解決....
落到patch 就落啦:
-
Rocky Linux 8.10: kernel-4.18.0-553.123.1.el8_10 and above
-
Rocky Linux 9.7: kernel-5.14.0-611.54.1.el9_7 and above
-
Rocky Linux 10.1: kernel-6.12.0-124.55.1.el10_1 and above
如果未落到kernel patch , 可以加入boot option :
grubby --update-kernel=ALL --args="initcall_blacklist=crypto_authenc_esn_module_init"
再reboot 一次
不過, 如果係ubuntu , 有問題部份係用module 型式, 仲可以用加設定去做:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
不過似乎有update 的話, ubuntu 已經幫你加了這句
如果你想知你有無用到相關module
lsmod | grep esp4
lsmod | grep esp6
lsmod | grep rxrpc
lsmod | grep algif_aead
如果你想知你的版本用module 還是 入了kernel:
grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)
m = module , 可以用script 解決
y = kernel 內, 要加boot option 或者落kernel patch
不過話時話, 唔好乜都信晒AI , 我揾google 時, 佢話個kernel 受影響 , 但係官方話fix 左...
