BLSA-2017:0068 – [重要] glibc 安全警告及修复方法



  • BLSA-2017:0068 – [重要] glibc 安全警告及修复方法

    问题描述

    glibc最近暴露出安全漏洞,攻击者利用这个漏洞,可以对系统安全产生影响。为增加系统安全强度,建议所有用户都安装BCLinux提供的的升级包,升级包包含了修复这些漏洞的补丁文件。

    glibc简介
    glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc。glibc除了封装linux操作系统所提供的系统服务外,它本身也提供了许多其它一些必要功能服务的实现。由于 glibc 囊括了几乎所有的 UNIX 通行的标准,可以想见其内容包罗万象。而就像其他的 UNIX 系统一样,其内含的档案群分散于系统的树状目录结构中,像一个支架一般撑起整个操作系统。在 GNU/Linux 系统中,其C函式库发展史点出了GNU/Linux 演进的几个重要里程碑,用 glibc 作为系统的C函式库,是GNU/Linux演进的一个重要里程碑。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    • CVE-2017-1000366[重要]
      最近,在用户空间二进制文件的堆栈中,内存分配方式被发现存在漏洞。如果堆(或不同的内存区域)和堆栈内存区域彼此相邻,攻击者可以利用此漏洞跳过堆栈保护间隙,从而导致在进程堆栈或相邻内存区域上受控制的内存损坏,增加了攻击者的系统权限。从glibc方面考虑一种缓解办法:阻止以安全模式运行的程序对LD_LIBRARY_PATH变量的处理,并减少了对变量LD_AUDIT,LD_PRELOAD和LD_HWCAP_MASK处理执行的次数,从而增加攻击者成功利用该漏洞的难度。

    解决方案

    BCLinux的官方源已经可以提供更新的glibc软件包,受影响的BCLinux 客户端用户需要升级到 2.17-157.el7_3.4.x86_64 版本 。

    BCLINX 用户安装更新步骤如下:
    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ll /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@promote ~]# yum update glibc
    Loaded plugins: fastestmirror, langpacks
    base                                                                                                                                          | 3.6 kB  00:00:00     
    base-source                                                                                                                                   | 2.9 kB  00:00:00     
    extras                                                                                                                                        | 2.9 kB  00:00:00     
    extras-source                                                                                                                                 | 2.9 kB  00:00:00     
    kernel                                                                                                                                        | 2.9 kB  00:00:00     
    kernel-source                                                                                                                                 | 2.9 kB  00:00:00     
    product                                                                                                                                       | 2.9 kB  00:00:00     
    product-source                                                                                                                                | 2.9 kB  00:00:00     
    updates                                                                                                                                       | 2.9 kB  00:00:00     
    updates-source                                                                                                                                | 2.9 kB  00:00:00     
    (1/11): base/7/x86_64/group_gz                                                                                                                | 155 kB  00:00:00     
    (2/11): extras-source/7/primary_db                                                                                                            |  51 kB  00:00:00     
    (3/11): kernel-source/7/primary_db                                                                                                            |  61 kB  00:00:00     
    (4/11): extras/7/x86_64/primary_db                                                                                                            | 231 kB  00:00:00     
    (5/11): product-source/7/primary_db                                                                                                           | 7.8 kB  00:00:00     
    (6/11): base-source/7/primary_db                                                                                                              | 923 kB  00:00:00     
    (7/11): updates-source/7/primary_db                                                                                                           |  67 kB  00:00:00     
    (8/11): product/7/x86_64/primary_db                                                                                                           | 127 kB  00:00:00     
    (9/11): base/7/x86_64/primary_db                                                                                                              | 5.5 MB  00:00:02     
    (10/11): updates/7/x86_64/primary_db                                                                                                          | 5.8 MB  00:00:03     
    (11/11): kernel/7/x86_64/primary_db                                                                                                           |  32 MB  00:00:08     
    Determining fastest mirrors
    Resolving Dependencies
    --> Running transaction check
    ---> Package glibc.x86_64 0:2.17-157.el7_3.2 will be updated
    --> Processing Dependency: glibc = 2.17-157.el7_3.2 for package: glibc-devel-2.17-157.el7_3.2.x86_64
    --> Processing Dependency: glibc = 2.17-157.el7_3.2 for package: glibc-common-2.17-157.el7_3.2.x86_64
    --> Processing Dependency: glibc = 2.17-157.el7_3.2 for package: glibc-headers-2.17-157.el7_3.2.x86_64
    ---> Package glibc.x86_64 0:2.17-157.el7_3.4 will be an update
    --> Running transaction check
    ---> Package glibc-common.x86_64 0:2.17-157.el7_3.2 will be updated
    ---> Package glibc-common.x86_64 0:2.17-157.el7_3.4 will be an update
    ---> Package glibc-devel.x86_64 0:2.17-157.el7_3.2 will be updated
    ---> Package glibc-devel.x86_64 0:2.17-157.el7_3.4 will be an update
    ---> Package glibc-headers.x86_64 0:2.17-157.el7_3.2 will be updated
    ---> Package glibc-headers.x86_64 0:2.17-157.el7_3.4 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =====================================================================================================================================================================
     Package                                   Arch                               Version                                      Repository                           Size
    =====================================================================================================================================================================
    Updating:
     glibc                                     x86_64                             2.17-157.el7_3.4                             updates                             3.6 M
    Updating for dependencies:
     glibc-common                              x86_64                             2.17-157.el7_3.4                             updates                              11 M
     glibc-devel                               x86_64                             2.17-157.el7_3.4                             updates                             1.1 M
     glibc-headers                             x86_64                             2.17-157.el7_3.4                             updates                             669 k
    
    Transaction Summary
    =====================================================================================================================================================================
    Upgrade  1 Package (+3 Dependent packages)
    
    Total download size: 17 M
    Is this ok [y/d/N]: y
    

    4.复查

    [root@promote yum.repos.d]# rpm -q glibc
    glibc-2.17-157.el7_3.4.x86_64
    

    5.重启应用
    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待