各有关单位：     

3月16日，360-CERT监测到编号为CVE-2017-16995的Linux内核漏洞攻击代码被发布，该漏洞是由于eBPF验证模块的计算错误产生的。普通用户可以构造特殊的BPF来触发该漏洞，此外恶意攻击者也可使用该漏洞来进行本地提权操作。现就具体情况通报如下：     

一、情况分析     

3月16日下午，Twitter用户@Vitaly Nikolenko发布消息，称ubuntu最新版本（Ubuntu 16.04）存在高危的本地提权漏洞，而且推文中还附上了EXP下载地址。     

Ubuntu是一个以桌面应用为主的开源GNU/Linux操作系统，基于Debian GNU/Linux。     

此次发布的EXP即为CVE-2017-16995 Linux内核漏洞的攻击代码。该漏洞存在于Linux内核带有的eBPF bpf(2)系统调用中，当用户提供恶意BPF程序使eBPF验证器模块产生计算错误，导致任意内存读写问题。非特权用户可以使用此漏洞获得权限提升。     

二、影响范围     

Linux Kernel Version4.14-4.4     

仅影响Ubuntu/Debian发行版本     

三、对策建议     

（一）官方尚未放出稳定版本的内核安全更新，相关补丁仍在测试中，建议各单位实时关注Ubuntu官方安全漏洞公告，及时更新漏洞补丁。     

（二）通过设置参数 “kernel.unprivileged_bpf_disabled= 1”限制对bpf(2)调用，可缓解漏洞影响。     

（三）建议各单位组织技术力量，及时评估系统存在的安全风险，排查系统安全隐患，同时对系统进行安全加固。     

目前，测评中心正在对该漏洞具体情况进行跟踪分析。各单位在应对过程中如有技术问题，可与我中心技术人员联系：     

王 楠：029-88319550-8017      

赵少飞：029-88319550-8019     

     

                                                                                            陕西省网络与信息安全测评中心     

                                                                                                    2018年3月17日