BLSA-2017:0001 – [重要] kernel 安全警告及修复方法



  • BLSA-2017:0001 – [重要] kernel 安全警告及修复方法

    问题描述

    kernel最近暴露出若干安全漏洞,这些漏洞可以使者恶意攻击者发起拒绝服务攻击或者远程执行任性代码等。同时,kernel也修复了一系列漏洞,解决了一些有关系统安全的问题。为了应对此次暴露出的若干漏洞对系统安全产生的影响,建议所有受影响用户都安装BCLinux提供的的升级包以修复这些漏洞,升级包包含了修复这些漏洞的补丁文件。

    影响版本

    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 6
    • CentOS Linux 6

    详细介绍

    安全修复

    • CVE-2016-7117
      kernel中的net/socket.c/the _sys_recvmmsg 函数存在释放后重利用漏洞,可导致远程攻击者破坏内存或者远程执行任意代码。

    • CVE-2016-4998
      kernel暴露出一个越界堆内存访问漏洞,该漏洞可能会导致拒绝服务,内存泄露,或者对setsockopt()更大范围的影响。setsockopt()函数调用通常仅限于具有root权限的用户,然而某些进程通过cap_sys_admin这个参数可以获得进行setsockopt()调用的权限。

    • CVE-2016-6828
      kernel中的include/net/tcp.h/tcp_check_send_head函数数据复制后未正确保护某些SACK状态,存在安全漏洞,可使本地攻击者通过构造的SACK选项造成拒绝服务。

    漏洞修复

    • BZ#1385480
      Parallel NFS(pNFS)(文件共享的并行实现方式)返回文件布局时,有时会发生内核的崩溃。

    • BZ#1385482
      当Microsoft Hyper-V上的客户虚拟机在从主机获得不可屏蔽中断(NMI)信号发生崩溃时,该客户虚拟机将变得无响应,并且不会创建vmcore转储文件。

    • BZ#1391974
      版本为6.6到6.8的系统中IPv6路由缓存偶尔会显示错误的值,此次更新会使IPv6路由缓存显示正确的值。

    • BZ#1392818
      当使用ixgbe驱动程序以及软件堆栈以太网光纤通道(FCoE)时,在某些情况下,具有大量CPU的系统上出现性能不佳的情况。

    • BZ#1392875
      当vmwgfx内核模块加载时,它会自动覆盖引导分辨率。因此,用户无法通过手动设置/boot/grub/grub.conf文件中的内核参数“vga”来更改分辨率。

    • BZ#1393464
      当在基于SMBIOS 3.0的系统上引导6.8版本的系统时,由多个应用程序(如NEC服务器的内存RAS程序)引用的桌面管理接口(DMI)信息缺少sysfs虚拟文件系统中的条目。

    • BZ#1396479
      此前,当fail_over_mac参数设置为fail_over_mac = active时,bond热备份模式和基于介质访问控制(MAC)地址的VLAN设置在版本号位6.8的系统中将不起作用。

    解决方案

    目前,BCLinux的官方源已经提供 kernel 的更新软件包,受影响的BCLinux 6客户端用户需要升级到2.6.32-642.13.1.el6版本。

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ls -l /etc/yum.repos.d/
    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update kernel
    Loaded plugins: fastestmirror, security
    Loading mirror speeds from cached hostfile
    Setting up Update Process
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:2.6.32-642.13.1.el6 will be installed
    --> Processing Dependency: kernel-firmware >= 2.6.32-642.13.1.el6 for package: kernel-2.6.32-642.13.1.el6.x86_64
    --> Processing Dependency: dracut-kernel >= 004-408.el6 for package: kernel-2.6.32-642.13.1.el6.x86_64
    --> Running transaction check
    ---> Package dracut-kernel.noarch 0:004-335.el6 will be updated
    ---> Package dracut-kernel.noarch 0:004-409.el6_8.2 will be an update
    --> Processing Dependency: dracut = 004-409.el6_8.2 for package: dracut-kernel-004-409.el6_8.2.noarch
    ---> Package kernel-firmware.noarch 0:2.6.32-431.el6 will be updated
    ---> Package kernel-firmware.noarch 0:2.6.32-642.13.1.el6 will be an update
    --> Running transaction check
    ---> Package dracut.noarch 0:004-335.el6 will be updated
    ---> Package dracut.noarch 0:004-409.el6_8.2 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ====================================================================================================================================================
     Package                               Arch                         Version                                     Repository                     Size
    ====================================================================================================================================================
    Installing:
     kernel                                x86_64                       2.6.32-642.13.1.el6                         updates                        32 M
    Updating for dependencies:
     dracut                                noarch                       004-409.el6_8.2                             updates                       127 k
     dracut-kernel                         noarch                       004-409.el6_8.2                             updates                        28 k
     kernel-firmware                       noarch                       2.6.32-642.13.1.el6                         updates                        28 M
    
    Transaction Summary
    ====================================================================================================================================================
    Install       1 Package(s)
    Upgrade       3 Package(s)
    
    Total download size: 60 M
    Is this ok [y/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q kernel
    kernel-2.6.32-431.el6.x86_64
    kernel-2.6.32-642.13.1.el6.x86_64
    

    4.重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新