雖然我不覺得,會有人在 Server 的硬碟做加密,尤其是都雲端虛擬主機的世界。 還是分享一下,提醒大家,如果你的 Server 是有在公開網路提供服務的網站,有事沒事還是要更新一下自己的 Linux server。
CVE-2021-4122
https://access.redhat.com/security/cve/cve-2021-4122
Description
It was found that a specially crafted LUKS header could trick cryptsetup into disabling encryption during the recovery of the device. An attacker with physical access to the medium, such as a flash disk, could use this flaw to force a user into permanently disabling the encryption layer of that medium.
很長一串,簡單的意思就是,有漏洞,可以讓駭客把你的硬碟的加密功能(cryptsetup - LUKS)關掉,然後拿著你的硬碟就可以把資料 copy 出來。前提是,要能接受過特殊訓練,飛簷走壁的到你的主機前面把硬碟無聲無息的拔掉,並且安然離開。
受影響版本
Red Hat Enterprise Linux 8 系列應該都要注意,包含有: CentOS 8、Rocky Linux 8當然還有 Red Hat Enterprise Linux 8 本身。
| Platform | Package | State | Errata | Release Date |
|---|---|---|---|---|
| Red Hat Enterprise Linux 7 | cryptsetup | Not affected | ||
| Red Hat Enterprise Linux 8 | cryptsetup | Fixed | RHSA-2022:0370 | 2022年2月2日 |
但目前已經修正了,理論上只要安裝下列版本都可以直接更新
- CentOS Stream 8
- Rocky Linux 8
- Red Hat Enterprise Linux 8
這個版本應該是沒有更新了,我覺得可以說是百分百的變成孤兒了。
- CentOS 8
更新方式
% dnf install cryptsetup cryptsetup-libs
確定是否已經更新到 Wed 02 Feb 2022 之後的版本
% rpm -qi cryptsetup
Name : cryptsetup
Version : 2.3.7
Release : 1.el8
Architecture: x86_64
Install Date: Tue 08 Feb 2022 10:49:23 PM CST
Group : Applications/System
Size : 508228
License : GPLv2+ and LGPLv2+
Signature : RSA/SHA256, Wed 02 Feb 2022 10:48:48 PM CST, Key ID 05b555b38483c65d
Source RPM : cryptsetup-2.3.7-1.el8.src.rpm
Build Date :Wed 02 Feb 2022 01:06:18 PM CST
Build Host : x86-01.mbox.centos.org
Relocations : (not relocatable)
Packager : CentOS Buildsys bugs@centos.org
Vendor : CentOS
URL : https://gitlab.com/cryptsetup/cryptsetup
Summary : A utility for setting up encrypted disks
Description :
The cryptsetup package contains a utility for setting up
disk encryption using dm-crypt kernel module.