青云音视频服务发布上线啦

Featured

已于今日开启音视频分类产品,并上线视频直播与实时音视频RTC产品。至此加上CDN+对象存储可满足的点播场景,青云公有云的音视频服务已经可以满足大部分用户的音视频服务诉求。

实时音视频RTC,为用户提供全球的低延时互动直播与多人音视频功能,为用户提供低延时互动直播、屏幕共享、基础美颜、水印、实时录屏、自定义视频源等功能,支持用户快速搭建在线会议、互动课堂、语音电台、互动连麦等服务场景。

应用场景可支持覆盖视频会议、远程医疗、在线教育、金融保险客服、娱乐社交。更多产品信息,请点击https://www.qingcloud.com/products/rtc

       本次新品发布,新用户免费领取5000分钟体验套餐包。可用于音视频通信、旁路推流、云录制。现在购买套餐包,优惠抵至5.93元/千分钟,有效期长达15个月。

Linux Kernel 权限提升漏洞公告

漏洞名称:Linux Kernel 权限提升漏洞
CVE编号:CVE-2023-32233
风险等级:高危
漏洞危害:攻击者利用该漏洞对内核内存执行任意读写操作,成功利用该漏洞的本地用户可获得root权限或导致系统崩溃。
漏洞概述:
Linux kernel 是美国 Linux 基金会的开源操作系统 Linux 所使用的内核。
Linux Kernel 的 Netfilter nf_tables 子系统存在释放后重用漏洞,在处理 Netfilter
nf_tables 基本操作请求时,由于匿名集处理不当,导致可以任意读写内核内存,
拥有低权限的本地攻击者可以利用该漏洞将权限提升至 ROOT 权限。
影响版本:
v5.1-rc1 <= Linux Kernel 版本<= 6.3.1
安全版本:
Linux kernel 版本>= 6.4-rc1
Linux kernel 版本< 5.1-rc1
安全建议:
1、更新版本,目前厂商已发布安全更新,受影响用户可以更新到安全版本:
Linux Kernel 5.15.111
Linux Kernel 6.1.28
Linux Kernel 6.2.15
Linux Kernel 6.3.22
2、缓解措施
1.可以通过阻止加载受影响的 netfilter (nf_tables) 内核模块来缓解此漏洞,请参阅 https://access.redhat.com/solutions/41278
2. 如果无法卸载模块 netfilter,则还有一种缓解方法:
在 Red Hat Enterprise Linux 8 的非容器化部署中,您可以通过将
user.max_user_namespaces 设置为 0 来禁用用户命名空间:
# echo “user.max_user_namespaces=0” > /etc/sysctl.d/userns.conf
# sysctl -p /etc/sysctl.d/userns.conf
在 Red Hat OpenShift 容器平台等容器化部署中,请勿使用此缓解措施,因为需要启用该功能。
说明:
青云云平台普通权限账户不开放NF功能,所以无法利用此漏洞,故不受该漏洞影响,可放心使用。

科技赋能品牌,UR 从底层到应用的数字化变革

科技进步让我们的生活越来越丰富多元,时尚快消行业也不得不面临层出不穷的新问题:如何打造符合消费者喜好的品牌,如何及时洞察市场变化,如何形成商品差异优势……

快尚时装(广州)有限公司是于 2006 年创立的快奢时尚品牌 URBAN REVIVO(简称:UR),目前在全球拥有 6300 名员工,于伦敦设有全球创意设计中心,在全球开设了超过 300 家实体店铺,实行的即是以产品为先导的策略,凭借时尚设计、快速更新和高性价比脱颖而出,通过产品风格细分满足消费者的个性化需求,形成强大的产品力。

洞察趋势,快速响应市场

时尚快消行业正向着个性化、国际化和细分化的方向转变,其数字化转型也呈现出物联化、云化、移动化、数据驱动的趋势。面对这些变化,UR 对于数字化转型有着清晰的目标——“以科技赋能品牌管理,实现智能互动、智能分析、智能决策,完成从传统企业向智能化企业转型”。

作为国内较早一批布局数字化的时尚快消企业,UR 创新的整体效率提升已有不俗的表现:以往一个多月才能上市的爆款,如今从设计到店铺,UR 最快只要 6 天时间。

UR 的“秘密武器”,就是以灵活应对市场变化的柔性供应链为核心,形成从前期洞察、生产设计、推广营销,直到数据分析的全链条数字化能力,以“全流程在线化”实现产品畅销最大化,滞销最小化。

经过十余年快速商业模式的经验沉淀,UR 于 2021 年自主打造了新一代基于分布式的 SCP 供应链服务平台,并且采用了应用微服务化的设计。

挑战也随着创新出现:传统的虚拟化管理不适应云原生的应用架构,应用上线的速度影响了业务交付效率,混合云环境下的多个容器集群无法统一管理。

容器混合云打开新篇章

为打破制约数字化能力发挥的桎梏,UR 基础设施部门决定建设一套灵活、可扩展的容器平台。经过深入的需求分析与产品调研,UR 决定选择 KubeSphere 企业版构建容器混合云平台,统一纳管两个数据中心及公有云资源,实现容器集群跨基础设施管理,主要形成以下能力:

• PaaS 基础平台:完成生产环境核心业务迁移到容器云平台。

• 跨数据中心容器云业务统一调度管理平台:包括跨数据中心业务统一调度、服务统一治理、跨数据中心镜像同步、滚动升降级等功能。

• 开发测试 PaaS 云平台:打通 DevOps,实现多数据中心、多集群的持续集成和持续部署能力,实现开发测试环境业务一键发布到生产环境的能力。

• 中间件混合编排能力:包括中间件的跨中心发布、多副本的跨中心发布、跨容器集群环境的发布。

通过容器混合云建设,UR 基于多活数据中心,实现了业务在多数据中心之间的的无缝迁移,将应用与资源解耦,保障业务可靠运行的同时,资源利用率明显提升。更重要的是,测试与开发环境的打通、DevOps 能力的集成,大幅提升了开发测试、应用交付及运维的整体效率。

最终,UR 容器混合云不仅成为了 SCP 供应链的数字化支撑,也成为了官网、POS、CRM 等应用的 IT 基石,支持业务的快速更新迭代。

UR 以“时尚 UR、科技 UR”为战略核心,持续加大对产品设计及科技的投入,为顾客创造最新的时尚潮流产品,并利用科技赋能管理,让成本更优、效率更高,决策更准。青云科技期待为 UR 持续提供技术能力,共同塑造快消行业的数字化标杆,不负 UR“让每个人享受时尚生活乐趣”的品牌使命。

珠海市测绘院,迎接因云而来的“新变化”

珠海市测绘院主要为珠海市的自然资源管理、经济建设、国防建设、社会发展和生态保护提供测绘保障服务,承担该市财政投入的基础测绘项目和市场上其他测绘项目。自 1980 年成立以来,珠海市测绘院凭借切实有力的测绘服务与保障,广受社会赞誉与认可,并多次荣获国家和省市奖项,取得了良好的社会效益。

随着测绘地理信息技术不断创新与发展,传统测绘业务的数据服务正在向实体化、一体化的时空信息服务转变。

目前,国家多个重点城市正在开展新型基础测绘体系建设试点工作。新型基础测绘是新时期面向基础测绘的新任务和新需求,该体系建设既是国家基础测绘的发展战略,也是珠海市测绘院改革转型发展的方向指引。

珠海市测绘院紧跟时代发展方向,以技术创新为驱动,以信息网络为基础,面向高质量发展需求,加快基础硬件、网络、专业测绘软件的采购与升级,以满足如航空摄影、实景三维建模、单体化、地理实体等数据生产要求,持续寻求技术升级与服务能力提升,为城市空间精细化治理提供更多智能化手段。

为满足数字转型与融合创新的需求,有些现实问题必须依靠 IT 基础能力的全面提升。比如存储压力,单个城市的实景三维数据可以达到 PB 级,也涵盖了原始影像、过程数据及最终成果数据等。比如 CPU/GPU 计算压力,空中三角测量及三维建模工作,都是巨大的计算工作量。

围绕亟需解决的问题,珠海市测绘院决定打造“私有云+桌面云”的一体化平台。

依托于青云科技涵盖 IaaS、PaaS 和虚拟桌面的全栈云能力,以及多样化的存储能力,珠海市测绘院实现了私有云底层的 GPU 资源、分布式块存储和分布式文件存储服务共享,实现了 GIS 应用分布式计算集群和 GPU 桌面云资源共享,解决了测绘院在空中三维图形计算、建模、移动办公、GPU 桌面、自助资源分配中遭遇的问题,共享与融合的原则得到了充分体现。

具体来看,珠海市测绘院建成了一个覆盖倾斜摄影测量、LiDAR、云计算、大数据、集群等新型基础测绘高新技术的软硬件一体化生产平台,以提供一个具备高水平、高效率、高密度的计算与存储能力的测绘云环境,解决计算、存储资源短缺的燃眉之急,同时低成本、高效率支持现有基础测绘项目顺利开展,也可以为现有业务安全运行提供工作站级别的虚拟桌面主机,以及支撑数十个至百个在线应用的服务能力,保障现有业务稳健运维和升级扩展,提升信息化测绘技术服务能力。

目前,该平台承载着珠海市测绘院用于空中三维测量、影像测绘、三维模型处理业务场景的分布式自动化处理计算集群。通过集群的方式可以按需调整资源部署,珠海市测绘院避免了硬件购入的高投资,更重要的是,以分布式集群处理数据,每天的建模效率从 <1km²/天提升到 >10km²/天,极大地提升了建模效率。自助式的资源申请与审批也极大缩短了项目上线的时间。同时,通过云桌面进行虚拟桌面和虚拟应用发布,办公效率得到了大幅提升。

在安全性能上,基于高性能、高可靠的分布式存储,提供文件和块存储服务,满足了珠海市测绘院的原始影像、过程数据及最终成果数据的存储,提升了地理测绘应用的处理效率及数据可靠性,满足数据涉密要求。

得益于青云科技的自研技术,珠海市测绘院通过统一的运维运营体系,实现了网信基础设施与资源的统一纳管,在保密性原则之上,统筹了安全与发展。

珠海市测绘院通过“私有云+桌面云”的一体化平台的建设,为新型基础测绘体系建设夯实了数字化基础,为其技术体系的全面形成提供了保障。青云科技也将在珠海市测绘院的创新实践道路上,提供智能升级与融合创新的数字化技术支持。

聚焦数字化,北投集团以青云全栈云能力筑创新基石

“‘北投云’图形化界面操作,可以快速部署主机、网络、存储等资源,统一平台一致性体验,打通数据孤岛。”

“‘北投云’可按需分配计算和存储资源,灵活开放的集成能力无限扩展,可快速、高效地满足北投集团直属企业的系统服务需求。”……

已有14家北投集团二级直属企业使用、并持续受到认可与好评的“北投云”,根据“数字北投”顶层规划建设的北投集团统一数据中心,以构建北投集团数字化新底座为目标,驱动数字化转型升级。

广西北部湾投资集团有限公司(文中简称“北投集团”)是广西壮族自治区人民政府直属的大型国有独资企业,现有全资子公司23 家,业务范围几乎涵盖所有基础建设领域,形成了以综合交通、口岸物流、环保水务等基础设施投融资建设为主业主轴,以新兴业务和产业金融为两翼的“一轴两翼”业务发展格局,产业链完整、行业全覆盖、专业领域齐全,具备大型工程项目的全过程运作综合实力,能为基建全领域提供一揽子解决方案,是独具特色的“基建树”、“产业林”。

北投集团规划北投云之初,即是在数字经济建设大潮下,根据国家电子政务云平台发展及自治区“云长制”工作方案的具体部署,要求实现自主可控、开放生态:下属单位现有数据中心接入集团公司的数据中心,云平台可对已建数据中心/机房的私有云、公有云资源进行统筹分配,实现多云管理,共享计算资源,支持云原生架构应用,最大化利用集团内外部资源,提高资源利用率,同时为保证数据的安全性及关键业务的持续性,实现同城异地灾备。

说到北投云,就不得不提其承建单位——广西北投信创科技投资集团有限公司(以下简称“北投信创集团”),其成立是北投集团在数字中国、信创发展大背景下,积极抢抓时代发展机遇而促成的,既点燃了北投数字引擎,又为加快数字广西建设增添了澎湃动能。北投信创集团从整体需求出发,制定了清晰的云平台建设路径——以新建主机、存储、网络、安全等硬件设备,结合 SDN、虚拟化、容器和云平台等软件技术,构建集团信息化基础设施服务(IaaS)、平台服务(PaaS)和软件服务(SaaS)。

青云科技和北投云的“缘分”开始在更早的时候。此前北投信创集团关注到青云与江苏交控的数字交通新基建平台项目,双方便开始建立起了交流与互动。青云作为国内最早的云计算厂商之一,以统一架构提供公有云与私有云,积累的大量集团云落地经验,在当时已经给北投信创集团留下了深刻的印象,让青云成为北投云最理想的候选供应商之一,最终也凭借实力成功中标。

“北投云”云平台采用混合云架构,整合私有云和公有云,同时支持 x86 和 ARM 服务器,实现了计算、存储、网络、安全等基础设施服务,DevOps 平台、容器服务、微服务引擎等 PaaS 服务,以及集团统建业务、网盘等 SaaS 服务。在此之上,“北投云”实现了资源申请、资源监控、应用管理、账单管理等自助服务,提供组织管理、计费、流程、日志、配置等运营功能,应用、平台、监控、故障分析等运维功能,以及开放 API 网关等开发功能,最终通过统一门户,向子公司与下属组织、运营管理员、开发者、运维人员和决策者等提供相应的服务。

这些功能的实现,离不开青云强大成熟的全栈云能力:

  • 架构合理,且经过大规模验证。基于公私统一架构,青云 IaaS 在多租户可运营、计量计费、工单系统等方面充分满足了多分支机构的企业需求。“北投云”要服务北投集团总部及数十个直属企业,既需要合理分配资源,做到多租户隔离,也需要有相应的计费策略与计费引擎实现管理运营,并形成统一门户,让云资源可以自动、有序地被使用与被分配,并为IT 服务流程标准化提供基础保障。
  • PaaS 功能丰富,符合集团需求。得益于长期技术的积累,青云 PaaS 层提供丰富的服务种类,比如大数据、容器、数据库等。“北投云”使用了青云 PaaS层内置的容器平台,该平台以提供容器化封装及编排,有效提高整体开发水平,形成代码和组件重用,简化云原生应用程序的维护,在容器中运行应用程序和进程,并作为应用程序部署的独立单元,实现高水平资源隔离。面向微服务架构,平台亦通过松耦合方式,提升应用程序的整体敏捷性和可维护性。从应用出发的自动化运营,围绕统一调度和管理中心,从根本上提高系统和资源利用率,降低运维成本。
  • 中立开放,实现对业务最佳支撑。兼容异构底层、支持异构环境的统一纳管,既是青云的优势能力,也是企业提高自主可控性的现实需求。青云不仅提供开放、标准的接口,方便与其他系统、服务对接,同时提供统一的标准化应用框架,支持更高效的应用开发与管理。

北投信创集团丰厚的技术底蕴、强大的资源协调能力、出色的团队协作能力成为“北投云”如期服务集团创新的中坚力量。在这一过程中,青云紧密配合,以专业的团队有组织、有效率地跟进配合项目,及时协调资源,推进实施交付,保障平台按时上线。

通过北投云建设,北投集团的企业综合管理和各业务板块应用系统所需的基础运行环境,打破了原有各自建设的壁垒,形成了统一运营、按需自主分配的云资源池,包括硬件基础设施、基础支撑平台和运维体系等,为数字北投提供坚实的数字底座。目前,视频会议调度平台、数据中台等集团信息化系统,智慧口岸等产研项目支撑系统,智慧路巡系统、高速运维等交通业务系统……均在云平台上平稳运行。北投云不仅为北投集团创新发展提供数字支撑,也展示出北投信创集团的核心科技竞争力。

立足信创产品与工程、信息化建设、新基建、产业技术研究创新,北投信创集团致力于为广西数字经济的高质量发展贡献力量。以此次良好合作为开端,携手北投信创集团,青云科技希望以科技服务数字广西建设,服务区域数字经济新发展。

青云QingCloud 可备案服务器策略调整通知

为了进一步加强 ICP 备案信息真实性核验要求,自 2022 年 月 21 起,青云QingCloud 用户购买中国大陆节点可备案的包年包月服务器时长需达到 个月及以上(包含多次续费后累计时长),方可用于申请 ICP 网站备案。届时,如不满足该时长要求将无法直接用于申请备案,需要您先将用于备案的服务器续费,延长服务时长达到 个月及以上。本次策略调整不影响已备案完成的网站。

如需了解关于备案前准备可备案服务器相关问题,请您访问参考链接:https://docsv3.qingcloud.com/site/record/prepare/prepare_vm/

如您有任何问题,可随时通过工单或者服务热线( 400-8576-886)转 与我们联系。

感谢您青云QingCloud 的支持!

Spring RCE 0day漏洞公告

漏洞名称:Spring RCE 0day漏洞

漏洞等级:高危

披露时间:2022/3/29

TAG:Spring框架、0day漏洞

漏洞危害:攻击者可利用该漏洞进行远程控制服务器、植入恶意程序、 篡改页面等操作。

漏洞概述

3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。

作为目前全球最受欢迎的Java轻量级开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。

但在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。

目前已知,触发该漏洞需要满足两个基本条件:

使用JDK9及以上版本的Spring MVC框架

Spring框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

 影响版本

JDK9 <= Spring Cloud Function

执行“java-version”命令可查看JDK版本

 安全版本

JDK9>Spring Cloud Function

 安全建议

目前,Spring 官方无官方补丁,建议采用以下两个临时方案进行防护,并及时关注官方补丁发布情况,按官方补丁修复漏洞。

  • WAF 防护

在 WAF 等网络防护设备上,根据实际部署业务的流量情况, 实现对

“class.*”,“Class.*”,“*.class.*”,“*.Class.*”

等字符串的规则过滤,并在部署过滤规则后,对业务运行情况进行测试,避免产生额外影响。

  • 临时修复措施

需同时按以下两个步骤进行漏洞的临时修复:

(1)在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{“class.”,”Class. <em>“,”. class.</em>”, “.Class.”}。(注:如果此代码片段使用较多,需要每个地方都追加)

(2)在应用系统的项目包下新建以下全局类,并保证这个类被Spring加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。

import org.springframework.core.annotation.Order;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice

@Order(10000)

public class GlobalControllerAdvice{<!– –>

@InitBinder

public void setAllowedFields(webdataBinder dataBinder){<!– –>

String[]abd=new string[]{<!– –>”class.*”,”Class.*”,”*.class.*”,”*.Class.*”};

dataBinder.setDisallowedFields(abd);

}

 说明

经排查青云云平台不受该漏洞影响,可放心使用。

全国首个全矿井智能化示范项目是这样用云计算的

全国煤炭行业“首个全矿井智能化运行”建设成果交流推广会上,“张家峁智能煤矿巨系统关键技术装备研发与示范应用”项目科技成果顺利通过专家组鉴定,标志着张家峁矿业正式进入了全矿井智能化运行时代。

张家峁矿业隶属于陕煤集团陕北矿业公司,于2006年1月16日正式挂牌成立,是国家发改委在神府矿区南区规划的四个大型矿井之一。从迈上数字化转型道路,到成为经验可借鉴、模式可复制的高质量发展模范,张家峁矿业殚精竭虑得度过了 3 载时光。

2019年初,中国工程院王国法院士团队来到陕北矿业公司,双方关于煤炭行业智能化建设展开了讨论,最终决心携手打造全国首个煤矿巨系统示范项目,将张家峁矿业定为了“先行先试”示范点。由此,张家峁矿业的智慧矿区建设正式展开。

按照顶层设计、基础先行、重点突破、全面接入的整体规划,张家峁矿业成立了“智慧化办公室”全面推进建设。在与青云科技相遇之时,张家峁矿业已经建成了综合管控平台、井下 5G 网络、3 个智能化工作面、全矿井主煤流智能运输系统、全矿井智能通风管控系统等27个智能化子系统,原有的 IT 基础设施已经不能满足全新“大”数据平台的现实需求。

围绕打造“世界一流智能化示范矿井”的目标,张家峁矿业将云架构确定为各平台的整体支撑,从服务、运维、管理、维护、监控等多个维度深入梳理需求,以实现云计算与生产经营、物联网、大数据、人工智能的深度融合。

自主可控筑基石

煤矿智能化是新时期煤炭高质量发展的必经之路,同时要发挥煤炭为“双碳”兜底、为能源安全兜底、为国家安全兜底的作用,首创多项无人作业的张家峁矿业,对于“安全”从未松懈,自然更重视将承载 50 多个子系统的云平台的安全,坚持核心代码自研的青云科技就这样进入了视野。

最终,依托青云提供的完整 IaaS 服务、PaaS 服务(包括了大数据平台、容器平台等),张家峁矿业形成了统一的一体化业务平台、统一的管控集成平台、统一的服务平台、统一的数据管理标准,以实现所有系统功能的接入及应用,各系统按其承载的业务内容进行同平台的协同。

借由标准、完整、开放的云平台,张家峁矿业达成总体把控、集约化建设的初衷。更难得的是,作为示范试点,张家峁矿业一直希望具备向同行业输出智慧数字化的运营能力。青云的私有云、公有云统一架构,在技术上保证了张家峁矿业底层云能力的高可用及可扩展性;丰富的公有云运营经验,不仅让青云企业云平台的自运维能力持续提升,也能为张家峁矿业对外运营能力提供保障。

集中调度服务智慧矿山

在张家峁矿业的调度指挥中心的大屏上,精准显示着井下人员的定位信息,也展示着井下胶带机智能巡检机器人的实时工作画面;集中控制调度中心的三维可视化监控背后,是青云为张家峁矿业规划的 GPU 计算节点在发挥作用……这些还只是冰山一角。

以云计算平台、大数据基础平台为支撑,张家峁矿业集成了煤、掘进、主煤流运输、辅助运输、通风与压风、供电与供排水、安全监测、智能选煤等多个系统,采、机、电、水、运、通、洗、销全生产链的智能化作业占比达 80% 以上,节能减排的同时,将生产作业安全大幅提升。

“智慧”无处不在。为了更快地缩短设备检修时间,张家峁矿业的智能化工作面装备了故障诊断及精准维护系统,实时将三机、电机、泵站的震动、温度、冷却水流量压力等数据上传到工业互联网平台,实现云端计算、云端存储,以实现高效的调度管理和决策指挥。

张家峁矿业构建的立体式全方位综合智能生态系统,涵盖了井下地面、安全生产、政工经营、生活服务、园区建设等十大系统,随着高度一体化协同的持续加深,云计算作为“数字新基建”还将发挥更大价值。

在建设过程中,青云科技再一次展现出面对未知场景的勇气,用过硬的技术、负责的态度、良好的团队协作,与张家峁矿业积极探索、实现突破创新,共建“智慧矿山”。未来,随着张家峁矿业智能化、数字化能力的对外输出,青云科技将持续携手共进,把“智能化生产、透彻化感知、可视化管理、数字化决策的智慧矿区”,带入整个煤炭行业。

Linux Polkit 本地权限提升漏洞

漏洞编号:CVE-2021-4034

漏洞等级:高危

披露时间:2022/01/25

TAGLinux、提权

漏洞危害:攻击者可以通过修改环境变量来利用此漏洞,诱使 pkexec 执行任意代码,从而导致将本地权限提升为 root。

漏洞概述

近日,青云安全中心检测到 Linux Polkit 本地权限提升漏洞。它存在于所有主流的 Linux 发行版的默认配置中。受影响版本的 pkexec 无法正确处理调用参数计数,最终尝试将环境变量作为命令执行,攻击者可以通过修改环境变量来利用此漏洞,诱使 pkexec 执行任意代码,从而导致将本地权限提升为 root。

说明:Polkit(PolicyKit)是一个用于控制类Unix系统中控制系统范围权限的组件,它为非特权进程与特权进程的通信提供了一种有组织的方式。pkexec 是 Polkit 开源应用框架的一部分,它负责协商特权进程和非特权进程之间的互动,允许授权用户以另一个用户的身份执行命令,是 sudo 的替代方案。

影响版本

由于 polkit 为系统预装工具,目前主流 Linux 版本均受影响。

修复版本

CentOS系列
CentOS 6:polkit-0.96-11.el6_10.2
CentOS 7:polkit-0.112-26.el7_9.1
CentOS 8.0:polkit-0.115-13.el8_5.1
CentOS 8.2:polkit-0.115-11.el8_2.2
CentOS 8.4:polkit-0.115-11.el8_4.2

Ubuntu系列
Ubuntu 20.04 LTS:policykit-1 – 0.105-26ubuntu1.2
Ubuntu 18.04 LTS:policykit-1 – 0.105-20ubuntu0.18.04.6
Ubuntu 16.04 ESM:policykit-1 – 0.105-14.1ubuntu0.5+esm1
Ubuntu 14.04 ESM:policykit-1 – 0.105-4ubuntu3.14.04.6+esm1

安全建议

  1. 漏洞缓解措施

(1)CentOS 用户可采用如下命令升级到安全版本或更高版本

yum clean all && yum makecacheyum update polkit -y

验证修复,通过以下命令可查看 Polkit 是否为安全版本:

rpm -qa polkit

(2)Ubuntu 用户可采用如下命令升级至安全版本或更高版本:

sudo apt-get updatesudo apt-get install policykit-1

验证修复,通过以下命令可查看 Polkit 是否为安全版本:

dpkg -l policykit-1

  1. 修补建议

目前此漏洞已经可以修复,建议受影响用户及时升级更新。

(1) Ubuntu 已经为 PolicyKit 推送了更新,以解决 14.04 和 16.04 ESM 版本以及最近的18.04、20.04 和 21.04 版本中的漏洞。

下载链接:https://ubuntu.com/security/notices/USN-5252-2

(2) Red Hat 已经为 polkit on Workstation 和 Enterprise 产品上的 polkit 提供了安全更新。

下载链接:https://access.redhat.com/security/security-updates/#/?q=polkit&p=1&sort=portal_publication_date%20desc&rows=10&portal_advisory_type=Security%20Advisory&documentKind=PortalProduct

(3) 如果系统没有可用的补丁,可以从 pkexec 中删除 SUID 位作为临时缓解措施

chmod 0755 /usr/bin/pkexec

相关链接

https://ubuntu.com/security/CVE-2021-4034

https://access.redhat.com/security/cve/CVE-2021-4034

https://www.linux.org/forums/linux-security-announcements-automated.14/

 

Linux Polkit本地权限提升漏洞

漏洞编号:CVE-2021-4034

漏洞等级:高危

披露时间:2022/01/25

TAG:Linux、提权

漏洞危害:攻击者可以通过修改环境变量来利用此漏洞,诱使 pkexec 执行任意代码,从而导致将本地权限提升为root。

漏洞概述

近日,青云安全中心检测到Linux Polkit本地权限提升漏洞。它存在于所有主流的 Linux 发行版的默认配置中。受影响版本的 pkexec 无法正确处理调用参数计数,最终尝试将环境变量作为命令执行,攻击者可以通过修改环境变量来利用此漏洞,诱使 pkexec 执行任意代码,从而导致将本地权限提升为root。说明:Polkit(PolicyKit)是一个用于控制类Unix系统中控制系统范围权限的组件,它为非特权进程与特权进程的通信提供了一种有组织的方式。pkexec是Polkit开源应用框架的一部分,它负责协商特权进程和非特权进程之间的互动,允许授权用户以另一个用户的身份执行命令,是sudo的替代方案。

影响版本

由于 polkit 为系统预装工具,目前主流Linux版本均受影响。

修复版本

CentOS系列
CentOS 6:polkit-0.96-11.el6_10.2
CentOS 7:polkit-0.112-26.el7_9.1
CentOS 8.0:polkit-0.115-13.el8_5.1
CentOS 8.2:polkit-0.115-11.el8_2.2
CentOS 8.4:polkit-0.115-11.el8_4.2

Ubuntu系列
Ubuntu 20.04 LTS:policykit-1 – 0.105-26ubuntu1.2
Ubuntu 18.04 LTS:policykit-1 – 0.105-20ubuntu0.18.04.6
Ubuntu 16.04 ESM:policykit-1 – 0.105-14.1ubuntu0.5+esm1
Ubuntu 14.04 ESM:policykit-1 – 0.105-4ubuntu3.14.04.6+esm1

安全建议

  1. 漏洞缓解措施

(1)CentOS用户可采用如下命令升级到安全版本或更高版本

yum cleanall && yum makecache

yum updatepolkit -y

验证修复,通过以下命令可查看Polkit是否为安全版本:

rpm -qa polkit

(2)Ubuntu用户可采用如下命令升级至安全版本或更高版本:

sudo apt-get update

sudo apt-get installpolicykit-1

验证修复,通过以下命令可查看Polkit是否为安全版本:

dpkg -l policykit-1

  1. 修补建议

目前此漏洞已经可以修复,建议受影响用户及时升级更新。

(1) Ubuntu已经为PolicyKit推送了更新,以解决14.04和16.04 ESM版本以及最近的18.04、20.04和21.04版本中的漏洞。

下载链接:https://ubuntu.com/security/notices/USN-5252-2

(2) Red Hat已经为 polkit on Workstation 和 Enterprise 产品上的polkit提供了安全更新。

下载链接:https://access.redhat.com/security/security-updates/#/?q=polkit&p=1&sort=portal_publication_date%20desc&rows=10&portal_advisory_type=Security%20Advisory&documentKind=PortalProduct

(3) 如果系统没有可用的补丁,可以从 pkexec 中删除 SUID 位作为临时缓解措施

chmod 0755 /usr/bin/pkexec

相关链接

https://ubuntu.com/security/CVE-2021-4034

https://access.redhat.com/security/cve/CVE-2021-4034

https://www.linux.org/forums/linux-security-announcements-automated.14/

北师大以青云QingCloud 私有云打造智慧校园

北京师范大学(以下简称“北师大”)是教育部与北京市共建的全国重点大学,位列“双一流”、“985工程”、“211工程”及国家“七五”、“八五”首批重点建设十所大学之一。“双一流”大学建设一直是各界关注的热点,也是我国高等教育新一轮改革的目标之一,其“创新、协调、绿色、开放和共享”五大发展理念,对于高校在人才培养、科研发展、社会服务和管理层面都提出了更高的要求。

北师大校园信息化的建设可以追溯到2008年,此后陆续完成了数据仓库、信息门户、OA等多套系统的建设,再进行统一身份认证后,上线了“数据京师”校务管理数据共享平台,作为个人管理数据的入口和数据共享交换的枢纽,开启了智慧校园之旅。同时,随着其他应用的增加与深入,数据量持续增长,硬件设备逐渐增多。

北师大发现,原先的IT架构已经远远无法满足需求,运维压力节节攀升,信息中心也受困于如何更好地优化统筹资源分配。

最终,北师大选择了青云QingCloud 来构建私有云平台,并将大数据应用、后勤系统及网站相关的应用迁移至云平台。根据北师大目前的学院分布和资源利用情况,青云QingCloud 为其定制了一套计量计费系统,将通过校内公有云的模式,向各个二级学院提供云服务,并且构建计算、存储、网络融合架构的校园云平台,双横向扩展,提升基础架构的敏睿性,实现IT资源整合,避免重复投资、资源浪费。

运行一段时间后北师大发现,借助于青云QingCloud 构建的私有云平台,虽然大数据应用的数量进一步增加,但其整体的敏捷性、稳定性却丝毫未减弱,各学院能够更加便捷地申请和使用资源。北师大的信息中心也解决了多年未曾解决的资源自动化回收的问题,再也不用担心资源闲置,为智慧校园的管理奠定了良好基础。