BLSA-2017:0039 – [重要] kernel 安全警告及修复方法


  • BCLinux Developers

    BLSA-2017:0039 – [重要] kernel 安全警告及修复方法

    问题描述

    kernel最近暴露出本地提权漏洞(CVE-2017-2636),拒绝服务漏洞(CVE-2016-8650)以及本地内存破坏漏洞(CVE-2016-9793)等个漏洞,综合利用这些漏洞,可以试本地低权限用户实现本地提权,引发拒绝服务或者导致系统崩溃等。建议所有受影响用户都安装BCLinux 提供的的升级包以修复这些漏洞,升级包包含了修复这些漏洞的补丁文件。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    • CVE-2017-2636 [重要]
      Linux内核驱动 n_hdlc 模块(drivers/tty/n_hdlc.c)存在竞争条件,引发了本地提权漏洞,低权限用户利用该漏洞可以在Linux系统上实现本地提权。

    • CVE-2016-8650 [中等]
      Linux内核的lib/mpi/mpi-pow.c/mpi_powm函数未确保limb数据分配了内存,从而引发拒绝服务漏洞,本地攻击者利用这个漏洞可造成拒绝服务。

    • CVE-2016-9793 [中等]
      Linux内核的net/core/sock.c/sock_setsockopt函数未正确处理sk_sndbuf及sk_rcvbuf的负值引起 一个本地内存破坏漏洞,可使本地用户造成拒绝服务(内存破坏)。

    • CVE-2017-2618 [中等]
      Linux内核处理清除/ proc/pid/attr文件上的SELinux属性时发现了一个漏洞,对此文件写null时可能会导致系统尝试访问未映射的内核内存从而导致系统崩溃。

    解决方案

    目前,BCLinux的官方源已经提供 kernel 的更新软件包,受影响的 BCLinux 7 客户端用户需要升级到 3.10.0-514.16.1.el7 版本。

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ll /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update kernel
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.16.1.el7 will be installed
    --> Processing Dependency: linux-firmware >= 20160830-49 for package: kernel-3.10.0-514.16.1.el7.x86_64
    --> Running transaction check
    ---> Package linux-firmware.noarch 0:20150904-43.git6ebf5d5.el7 will be updated
    ---> Package linux-firmware.noarch 0:20160830-49.git7534e19.el7 will be an update
    --> Processing Conflict: kernel-3.10.0-514.16.1.el7.x86_64 conflicts xfsprogs < 4.3.0
    --> Restarting Dependency Resolution with new changes.
    --> Running transaction check
    ---> Package xfsprogs.x86_64 0:3.2.2-2.el7 will be updated
    ---> Package xfsprogs.x86_64 0:4.5.0-9.el7_3 will be an update
    --> Processing Conflict: kernel-3.10.0-514.16.1.el7.x86_64 conflicts kmod < 20-9
    --> Restarting Dependency Resolution with new changes.
    --> Running transaction check
    ---> Package kmod.x86_64 0:20-5.el7 will be updated
    ---> Package kmod.x86_64 0:20-9.el7 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ================================================================================================================================================
     Package                                     Arch                                Version                                                    Repo
    ================================================================================================================================================
    Installing:
     kernel                                      x86_64                              3.10.0-514.16.1.el7                                        updates
    Updating:
     kmod                                        x86_64                              20-9.el7                                                   base
     xfsprogs                                    x86_64                              4.5.0-9.el7_3                                              updates
    Updating for dependencies:
     linux-firmware                              noarch                              20160830-49.git7534e19.el7                                 base
    
    Transaction Summary
    ================================================================================================================================================
    Install  1 Package
    Upgrade  2 Packages (+1 Dependent package)
    
    Total download size: 70 M
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q kernel
    kernel-3.10.0-327.el7.x86_64
    kernel-3.10.0-514.16.1.el7.x86_64
    

    4.重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待