標籤存檔: CVE-2021-33909

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用 Linux Filesystem 的 size_t-to-int 類型轉換進行權限提升。其中無特權 (root) 的惡意使用者會利用大於 1GB 的長路徑掛載到 Linux 的 Filesystem 中,造成緩衝區溢出產生惡意提權。

由 PCI DSS 合規角度切入,核心考量點為作業系統帳戶的安全性,從是否需要登入主機的角度切入,限制非必要使用者登入進行目錄掛載、eBPF 使用等。並且安裝適用的安全補丁,如有重大風險應於 30 天內完成 Patch 更新

  • 作業系統帳戶的安全性 (PCI DSS Req. 2.1) – 驗證本機的所有不必要的預設帳戶已被刪除或停用。檢查目前所有的機器預設帳戶是否已被刪除或停用,可檢查 /etc/password 內的帳戶設定是否已刪除或是配置 nologin,避免不必要使用者可登入進行惡意漏洞利用攻擊。
  • 重大風險應於 30 天內完成 Patch 更新 (PCI DSS Req. 6.2) – 安裝適用的供應商安全補丁,確保所有系統組件和軟件免受已知漏洞的影響。如供應商發布 Patch 後,應在發布後的一個月內安裝關鍵的安全補丁。

檢查目前作業系統供應商是否有釋出相關 Patch,並盡可能安排時間於一個月內完成作業系統 Patch。如作業系統供應商尚未發布 Patch 則應實施緩解措施。

目前各家系統提供商正如火如荼的發布更新 Patch 來解決這次由 Qualys 安全研究團隊所發布的漏洞 (CVE-2021-33909)。目前收集的風險判定 Patch 參考清單可參考下方整理表格:

來源風險等級
NESSUS https://www.tenable.com/cve/CVE-2021-33909CVSS (v2) 7.2
NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909CVSS (v3) 7.8
Redhat https://access.redhat.com/security/cve/cve-2021-33909CVSS (v3) 7.0
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909Source: MITRE

資料於 2021年 9月 10日更新

Qualys 安全研究團隊目前已經驗證了成功取得 root 權限的漏洞作業系統包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作業系統也可能因為這次的漏洞產生惡意利用攻擊。Linux Server 版本所對應的安全補丁整理:

作業系統安全補丁連結
Redhathttps://access.redhat.com/security/cve/cve-2021-33909
CentOShttps://centosfaq.org/centos/its-been-six-days-since-cvd-2021-33909-was-patched-in-rhel-whats-the-holdup-for-stream-8/

https://centos.pkgs.org/8-stream/centos-baseos-x86_64/kernel-4.18.0-326.el8.x86_64.rpm.html

SUSEhttps://www.suse.com/security/cve/CVE-2021-33909.html
ubuntuhttps://ubuntu.com/security/CVE-2021-33909

資料於 2021年 9月 10日更新

如 Patch 尚未出現,可先採用的緩解做法。

sysctl kernel.unprivileged_userns_clone=1   # 將 unprivileged_userns_clone 設定為 0

sysctl kernel.unprivileged_bpf_disabled=1   # 將 unprivileged_bpf_disabled 設定為 1

技術細節請看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt


Max Tsai

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 專業認證: PCI DSS QSA, CISSP, ISMS LA


安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

* 如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com


你可能會喜歡看

您適用哪一個 PCI DSS SAQ 類型?

/
您適用哪一個 PCI DSS SAQ 類型? PCI DSS Self-Assessment…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

集團業務重整 公告

/
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

/
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用 Linux Filesystem 的 size_t-to-int 類型轉換進行權限提升。其中無特權 (root) 的惡意使用者會利用大於 1GB 的長路徑掛載到 Linux 的 Filesystem 中,造成緩衝區溢出產生惡意提權。

由 PCI DSS 合規角度切入,核心考量點為作業系統帳戶的安全性,從是否需要登入主機的角度切入,限制非必要使用者登入進行目錄掛載、eBPF 使用等。並且安裝適用的安全補丁,如有重大風險應於 30 天內完成 Patch 更新

  • 作業系統帳戶的安全性 (PCI DSS Req. 2.1) – 驗證本機的所有不必要的預設帳戶已被刪除或停用。檢查目前所有的機器預設帳戶是否已被刪除或停用,可檢查 /etc/password 內的帳戶設定是否已刪除或是配置 nologin,避免不必要使用者可登入進行惡意漏洞利用攻擊。
  • 重大風險應於 30 天內完成 Patch 更新 (PCI DSS Req. 6.2) – 安裝適用的供應商安全補丁,確保所有系統組件和軟件免受已知漏洞的影響。如供應商發布 Patch 後,應在發布後的一個月內安裝關鍵的安全補丁。

檢查目前作業系統供應商是否有釋出相關 Patch,並盡可能安排時間於一個月內完成作業系統 Patch。如作業系統供應商尚未發布 Patch 則應實施緩解措施。

目前各家系統提供商正如火如荼的發布更新 Patch 來解決這次由 Qualys 安全研究團隊所發布的漏洞 (CVE-2021-33909)。目前收集的風險判定 Patch 參考清單可參考下方整理表格:

來源風險等級
NESSUS https://www.tenable.com/cve/CVE-2021-33909CVSS (v2) 7.2
NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909CVSS (v3) 7.8
Redhat https://access.redhat.com/security/cve/cve-2021-33909CVSS (v3) 7.0
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909Source: MITRE

資料於 2021年 9月 10日更新

Qualys 安全研究團隊目前已經驗證了成功取得 root 權限的漏洞作業系統包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作業系統也可能因為這次的漏洞產生惡意利用攻擊。Linux Server 版本所對應的安全補丁整理:

作業系統安全補丁連結
Redhathttps://access.redhat.com/security/cve/cve-2021-33909
CentOShttps://centosfaq.org/centos/its-been-six-days-since-cvd-2021-33909-was-patched-in-rhel-whats-the-holdup-for-stream-8/

https://centos.pkgs.org/8-stream/centos-baseos-x86_64/kernel-4.18.0-326.el8.x86_64.rpm.html

SUSEhttps://www.suse.com/security/cve/CVE-2021-33909.html
ubuntuhttps://ubuntu.com/security/CVE-2021-33909

資料於 2021年 9月 10日更新

如 Patch 尚未出現,可先採用的緩解做法。

sysctl kernel.unprivileged_userns_clone=1   # 將 unprivileged_userns_clone 設定為 0

sysctl kernel.unprivileged_bpf_disabled=1   # 將 unprivileged_bpf_disabled 設定為 1

技術細節請看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt


Max Tsai

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 專業認證: PCI DSS QSA, CISSP, ISMS LA


安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

* 如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com


你可能會喜歡看

您適用哪一個 PCI DSS SAQ 類型?

/
您適用哪一個 PCI DSS SAQ 類型? PCI DSS Self-Assessment…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

集團業務重整 公告

/
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

/
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…