BLSA-2017:0047 – [重要] kernel 安全警告及修复方法



  • BLSA-2017:0047 – [重要] kernel 安全警告及修复方法

    问题描述

    最近 kernel 暴露出本地提权漏洞(CVE-2017-2636) ,本地用户利用这些漏洞能够实现本地提权,会对系统安全产生影响。为了增加系统安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    影响版本

    • BigCloud Enterprise Linux 7.2
    • Red Hat Enterprise Linux 7.2
    • CentOS Linux 7.2

    详细介绍

    安全修复

    • CVE-2017-2636 [重要]
      Linux内核驱动 n_hdlc 模块(drivers/tty/n_hdlc.c)存在条件竞争,低权限用户利用该漏洞可以在Linux系统上实现本地提权。

    漏洞修复

    • BZ#1418314
      libceph内核模块中的内存分配不正确,导致在高内存压力情况下,RADOS块设备(RBD)上的文件系统可能无法响应。

    • BZ#1427453
      在磁盘冗余阵列(RAID)设备上,mpt3sas驱动程序错误地检查了传输层重试(TLR)状态。 因此,当mpt3s尝试从RAID设备读操作时可能会发生内核崩溃。

    解决方案

    目前,BCLinux的官方源已经提供 kernel 的更新软件包。
    受影响的 BCLinux 7.2 客户端用户需要升级到3.10.0-327.53.1.el7版本。

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ll /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum --releasever 7.2 update kernel
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-327.53.1.el7 will be installed
    --> Processing Conflict: kernel-3.10.0-327.53.1.el7.x86_64 conflicts kmod < 20-8
    --> Restarting Dependency Resolution with new changes.
    --> Running transaction check
    ---> Package kmod.x86_64 0:20-5.el7 will be updated
    ---> Package kmod.x86_64 0:20-9.el7 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =============================================================================================================================================
     Package                       Arch                          Version                                    Repository                      Size
    =============================================================================================================================================
    Installing:
     kernel                        x86_64                        3.10.0-327.53.1.el7                        updates                         33 M
    Updating:
     kmod                          x86_64                        20-9.el7                                   updates                        113 k
    
    Transaction Summary
    =============================================================================================================================================
    Install  1 Package
    Upgrade  1 Package
    
    Total download size: 33 M
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q kernel
    kernel-3.10.0-327.el7.x86_64
    kernel-3.10.0-327.53.1.el7.x86_64
    

    4.重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新