BLSA-2017:0038 – [中等] util-linux 安全警告及修复方法


  • BCLinux Developers

    BLSA-2017:0038 – [中等] util-linux 安全警告及修复方法

    问题描述

    util-linux最近暴露出一个安全漏洞(CVE-2017-2616),本地认证的攻击者利用这个漏洞可以在特定条件下使用root权限杀死其它进程。建议所有受影响用户都安装BCLinux 提供的的升级包以修复这些漏洞,升级包包含了修复这些漏洞的补丁文件。

    util-linux简介
    util-linux 是一个开放源码的软件包,是一个对任何Linux系统的基本工具套件。util-linux 软件包包含许多工具。其中比较重要的是加载、卸载、格式化、分区和管理硬盘驱动器,打开 tty 端口和得到内核消息 。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    安全修复

    • CVE-2017-2616 [中等]
      util-linux管理子进程过程中存在竞争条件,本地认证的攻击者可以利用此漏洞在特定条件下使用root权限杀死其它进程。

    漏洞修复

    • BZ#1414481
      在chroot环境下,“findmnt --target”命令错误地显示文件系统的挂载目录。

    解决方案

    目前,BCLinux的官方源已经提供 util-linux 的更新软件包,受影响的 BCLinux 7 客户端用户需要升级到 2.23.2-33.el7_3.2 版本。

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ll /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update util-linux
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package util-linux.x86_64 0:2.23.2-26.el7 will be updated
    ---> Package util-linux.x86_64 0:2.23.2-33.el7_3.2 will be an update
    --> Processing Dependency: libuuid = 2.23.2-33.el7_3.2 for package: util-linux-2.23.2-33.el7_3.2.x86_64
    --> Processing Dependency: libmount = 2.23.2-33.el7_3.2 for package: util-linux-2.23.2-33.el7_3.2.x86_64
    --> Processing Dependency: libblkid = 2.23.2-33.el7_3.2 for package: util-linux-2.23.2-33.el7_3.2.x86_64
    --> Running transaction check
    ---> Package libblkid.x86_64 0:2.23.2-26.el7 will be updated
    ---> Package libblkid.x86_64 0:2.23.2-33.el7_3.2 will be an update
    ---> Package libmount.x86_64 0:2.23.2-26.el7 will be updated
    ---> Package libmount.x86_64 0:2.23.2-33.el7_3.2 will be an update
    ---> Package libuuid.x86_64 0:2.23.2-26.el7 will be updated
    ---> Package libuuid.x86_64 0:2.23.2-33.el7_3.2 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                           Arch                          Version                                  Repository                      Size
    ===============================================================================================================================================
    Updating:
     util-linux                        x86_64                        2.23.2-33.el7_3.2                        updates                        1.9 M
    Updating for dependencies:
     libblkid                          x86_64                        2.23.2-33.el7_3.2                        updates                        170 k
     libmount                          x86_64                        2.23.2-33.el7_3.2                        updates                        172 k
     libuuid                           x86_64                        2.23.2-33.el7_3.2                        updates                         76 k
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade  1 Package (+3 Dependent packages)
    
    Total download size: 2.3 M
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q util-linux
    util-linux-2.23.2-33.el7_3.2.x86_64
    

    4.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待