BLSA-2017:0053 – [重要] libtirpc 安全警告及修复方法



  • BLSA-2017:0053 – [重要] libtirpc 安全警告及修复方法

    问题描述

    libtirpc 提供了 rpcbind 所需的库,最近暴露出一个内存泄露漏洞(CVE-2017-8779),恶意攻击者利用这个漏洞可导致rpcbind消耗大量的系统内存资源,从而触发内核的OOM机制而被终止。建议所有使用受影响产品的用户都安装BCLinux提供的的更新补丁。

    rpcbind简介
    rpcbind是一种RPC服务,RPC即Remote Procedure Call Protocol(远程过程调用协议),rpcbind用于取代旧版本中的portmap组件。 简单说,rpcbind就是为了将不同服务与对应的端口进行绑定,以便支持机器间的互操作。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    • CVE-2017-8779 [重要]
      rpcbind在使用libtirpc时,解析特制XDR消息过程中被暴露存在一个内存泄漏漏洞,恶意攻击者可以通过向rpcbind发送数千条信息,导致其消耗大量的内存资源,从而触发OOM机制而被终止。

    解决方案

    目前,BCLinux的官方源已经提供 libtirpc 更新软件包,受影响的 BCLinux 7 客户端用户需要升级到 0.2.4-0.8.el7_3 版本。

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ll /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update libtirpc
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package libtirpc.x86_64 0:0.2.4-0.8.el7 will be updated
    ---> Package libtirpc.x86_64 0:0.2.4-0.8.el7_3 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                          Arch                           Version                                 Repository                       Size
    ===============================================================================================================================================
    Updating:
     libtirpc                         x86_64                         0.2.4-0.8.el7_3                         updates                          88 k
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 88 k
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q libtirpc 
    libtirpc-0.2.4-0.8.el7_3.x86_64
    

    4.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新