BLSA-2017:0030 – [中等] coreutils 安全警告及修复方法



  • BLSA-2017:0030 – [中等] coreutils 安全警告及修复方法

    问题描述

    coreutils(GNU下的一个软件包,包含linux下的 ls等常用命令;这些命令的实现要依赖于shell程序)最近暴露一个安全漏洞(CVE-2017-2616),本地攻击者可以利用这个漏洞在特定条件下通过获得root权限来杀死其它进程。为增加系统安全强度,建议所有用户都安装BCLinux提供的的升级包,升级包包含了修复这些漏洞的补丁文件。

    影响版本

    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 6
    • CentOS Linux 6

    详细介绍

    • CVE-2017-2616 [中等]
      su在管理子进程的过程中存在竞争条件,本地攻击者可以利用这个漏洞在特定条件下通过获得root权限来杀死其它进程。

    解决方案

    目前,BCLinux的官方源已经提供openssh的更新软件包,受影响的BCLinux 6 客户端用户需要升级到8.4-46.el6版本。
    [root@BCLinux ~]# ls -l /etc/yum.repos.d/

    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update coreutils
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Setting up Update Process
    Resolving Dependencies
    --> Running transaction check
    ---> Package coreutils.x86_64 0:8.4-31.el6 will be updated
    --> Processing Dependency: coreutils = 8.4-31.el6 for package: coreutils-libs-8.4-31.el6.x86_64
    ---> Package coreutils.x86_64 0:8.4-46.el6 will be an update
    --> Running transaction check
    ---> Package coreutils-libs.x86_64 0:8.4-31.el6 will be updated
    ---> Package coreutils-libs.x86_64 0:8.4-46.el6 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                               Arch                          Version                              Repository                      Size
    ===============================================================================================================================================
    Updating:
     coreutils                             x86_64                        8.4-46.el6                           updates                        3.0 M
    Updating for dependencies:
     coreutils-libs                        x86_64                        8.4-46.el6                           updates                         51 k
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade       2 Package(s)
    
    Total download size: 3.1 M
    Is this ok [y/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q coreutils
    coreutils-8.4-46.el6.x86_64
    

    4.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新