自2022年3月7日以来，阿里云关注到关于 Linux 内核本地提权漏洞的安全问题（CVE-2022-0847），已于第一时间启动安全风险治理。目前经过阿里云安全团队确认，除阿里云Alibaba Cloud Linux 3及部分容器服务实例受影响外，其他阿里云内部系统和专有云产品均不受影响。阿里云会持续监控此问题的进展，保障与此漏洞相关的云产品及云服务的安全性，让广大用户放心使用。
最新更新时间：2022年4月6日

一、阿里云服务及产品受影响情况及修复进展

云服务器ECS
（1）影响范围：漏洞影响Alibaba Cloud Linux 3的5.10内核的操作系统。
（2）修复计划： Alibaba Cloud Linux 3操作系统的内核版本已于2022年3月9日修复至安全版本。具体修复版本信息为Alibaba Cloud Linux 3：kernel-5.10.84-10.3.al8。

容器服务ACK
（1）影响范围：漏洞影响主要涉及宿主机使用Alibaba Cloud Linux 3版本的容器服务实例。
（2）修复计划： Alibaba Cloud Linux 3操作系统的内核版本已于2022年3月9日修复至安全版本，具体修复版本信息为Alibaba Cloud Linux 3：kernel-5.10.84-10.3.al8。Alibaba Cloud Linux 3的yum源已更新。请您及时升级系统内核版本修复该漏洞。

二、漏洞相关具体情况如下：

【漏洞描述】
2022年03月07日，一位国外安全研究员披露了一个Linux 内核本地提权漏洞 CVE-2022-0847并将其命名为“Dirty Pipe”，攻击者通过利用此漏洞可进行任意可读文件重写，将普通权限用户提升到 root权限。网上已有公开的漏洞利用工具PoC。

【漏洞等级】
CVSS评分：7.8 高危

【影响版本】
5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102

【安全建议】
1、阿里云强烈建议客户关注该漏洞相关应用和系统的更新，及时更新组件至最新版本，或使用相关应用、系统的自动更新机制。
2、开源操作系统修复方案请您及时关注开源系统开发商的修复情况，有相关修复漏洞补丁包发布后，请您及时更新。
3、注意此过程需要重新启动您的应用及系统，请您升级之前做好各项数据保存。

【相关链接】
国外研究员原始披露链接：https://dirtypipe.cm4all.com/
ubuntu公告：https://ubuntu.com/security/CVE-2022-0847
Red Hat公告：https://access.redhat.com/security/cve/cve-2022-0847
Debian公告：https://security-tracker.debian.org/tracker/CVE-2022-0847

如果您需要更多详细信息或帮助，请联系阿里云客服咨询。