BLSA-2016:0042 – [重要] 内核安全警告及修复方法



  • BLSA-2016:0042 – [重要] 内核安全警告及修复方法

    问题描述

    Linux内核最近修复了一系列安全漏洞,攻击者利用这些漏洞可以发起内核提权攻击(攻击者利用代码漏洞,将进程权限由非root状态提升至root状态的过程)等。为了增加安全强度,建议所有使用受影响产品的用户都安装BCLinux提供的的更新补丁。

    影响版本

    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 6
    • CentOS Linux 6

    详细介绍

    • CVE-2016-4565
      Linux内核中的InfiniBand(一种基于交换的串行 I/O 互连体系结构,从根本上改变了系统和Internet互连体系)子系统在某些接口上使用write()替代能够进行双向数据传输的ioctl(),这会导致系统在调用spice()时,内存安全检查不够充分,本地未授权的用户可以通过InfiniBand子系统或者以RDMA方式显示加载用户空间的远程访问连接管理器模块提升自己的权限。

    • BZ#1337443
      当系统使用综合业务数字网(Integrated Services Digital Network,ISDN)提供某些服务时,如果调用tty_Idisc_flush()函数,可能会导致系统意外终止。

    • BZ#1341496
      Linux内核增加了ipv6.ko(IPv6模块)提供的两个函数,但由于这两个函数依赖于该模块,使得某些不能加载ipv6.ko模块的系统上,nfsd.ko和lockd.ko这两个模块不能被加载,可能会导致NFS服务进程不能运行或者客户端不能挂载NFS文件系统。

    • BZ#1343015
      内核升级之后,由于对调度程序进行了某些修改,导致CPU的平均负载相比于之前的内核版本有所提高。

    解决方案

    目前,BCLinux的官方源已经可以提供更新的内核软件包,BCLinux 6用户需要升级到2.6.32-642.3.1.el6版本。

    1. 检查YUM源设置,确保使用的是BCLinux官方YUM源
    [root@localhost ~]# ls -l /etc/yum.repos.d/  
    
    1. 安装更新
    [root@localhost ~]# yum update kernel-2.6.32-642.3.1.el6
    
    1. 复查
    [root@localhost ~]# rpm -qa | grep kernel-2.6.32-642.3.1.el6
    
    1. 重启应用
      安装升级包以后需要重启系统。

    外部链接

    1. BCLinux 安全更新