BLSA-2016:0050 – [重要] kernel 安全警告及修复方法



  • BLSA-2016:0050 – [重要] kernel 安全警告及修复方法


    问题描述

    最近 kernel 修复了一个漏洞,这个漏洞可以让攻击者发起拒绝服务攻击,或在满足条件的系统上提权,建议所有 BCLinux 用户都安装 BCLinux 提供的升级包,升级包包含了修复这些漏洞的补丁文件。

    RDMA简介:
           RDMA(Remote Direct Memory Access)技术全称远程直接数据存取,就是为了解决网络传输中服务器端数据处理的延迟而产生的。RDMA通过网络把资料直接传入计算机的存储区,将数据从一个系统快速移动到远程系统存储器中,而不对操作系统造成任何影响,这样就不需要用到多少计算机的处理功能。它消除了外部存储器复制和文本交换操作,因而能解放内存带宽和CPU周期用于改进应用系统性能。

    ISDN 简介:
           ISDN即综合业务数字网。由电话综合数字网(IDN)演变而成,能够提供端到端的数字连接,以支持一系列广泛的业务(包括话音、非话业务)。它为客户进网提供一组有限的标准的多用途的网络接口。
           ISDN采用数字传输和数字交换技术,将电话、传真、数据和图像等多种业务综合在一个统一的数字网络进行传输和处理,向客户提供基本速率(2B+D,144Kbps)和一次群速率(30B+D,2Mbps)两种接口。基本速率接口包括两个能独立工作的 B信道(64Kbps)和一个D信道(16Kbps),其中B信道一般用来传输话音、数据和图像,D信道用来传输信令或分组信息。
           ISDN是以电话综合数字网为基础发展而成的通信网,能提供端到端的数字连接,可承载话音和非话音业务,客户能够通过多用途客户-网络接口接入网络。ISDN依托于先进的网络,具有业务综合性强、通信可靠性高和费用低廉等特点。

    影响版本

    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 6
    • CentOS Linux 6

    详细介绍

    安全更新

    1. CVE-2016-4565

      内核的 Infiniband 子系统接口在用 write() 替换双向 ioctl() 调用时,会导致调用 splice() 系统调用的内存安全性检查不足。系统上的本地非验证用户在使用 Infiniband 硬件或加载了 RDMA 用户空间连接管理模块时,可利用这个漏洞来提权。

    漏洞更新

    1. BZ#1337442

      当使用 ISDN(Integrated Services Digital Network)提供一些服务时,如果调用了 tty_ldisc_flush() 函数,系统可能会意外终止。

    2. BZ#1343014

      升级内核后,CPU负载的平均值会相对于以前的内核版本有所增加,这是由于调度器做了修改。这次更新修改了负载平均值的计算方法回退到以前版本,从而使相同负载下的负载平均值相对低一些。

    增强更新

    1. BZ#1334809

      增加 Intel Xeon v4 支持。

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 更新软件包,BCLinux 6 上的版本: 2.6.32-573.32.1 ,更新方法:

    1. 检查YUM源设置,确保使用的是 BCLinux 官方 YUM 源

      [root@BCLinux ~]# ll /etc/yum.repos.d/
      total 24  
      -rw-r--r-- 1 root root 1038 Mar 10 04:46 BCLinux-Base.repo  
      -rw-r--r-- 1 root root 1053 Oct 19 21:18 BCLinux-Source.repo  
      -rw-r--r-- 1 root root 1184 Oct 19 21:18 BigCloud.repo
      
    2. 安装更新

      [root@BCLinux ~]# yum update kernel
      Loaded plugins: fastestmirror
      Loading mirror speeds from cached hostfile
      Resolving Dependencies
      --> Running transaction check
      ---> Package kernel.x86_64 0:2.6.32-573.32.1.el6 will be updated
      --> Finished Dependency Resolution
      
      Dependencies Resolved
      
      ===============================================================================================================================================================================================
      Package                                      Arch                                    Version                                                   Repository                                Size
      ===============================================================================================================================================================================================
      Updating:
      kernel                                       x86_64                                  2.6.32-573.32.1.el6                                       updates                                   793 k
      
      Transaction Summary
      ===============================================================================================================================================================================================
      Upgrade  1 Package
      
      Total download size: 793 k
      Installed size: 2.3 M
      
    1. 复查

      [root@BCLinux ~]# rpm -qa | grep kernel
      kernel-2.6.32-573.32.1.el6.x86_64.rpm
      

    外部链接

    1.BCLinux安全更新