BLSA-2017:0060 – [重要] kernel 安全警告及修复方法



  • BLSA-2017:0060 – [重要] kernel 安全警告及修复方法

    问题描述

    最近 kernel 暴露出 5个安全漏洞(CVE-2017-7308、CVE-2016-10208、CVE-2016-7910、CVE-2016-8646、CVE-2017-5986),这些安全漏洞会对系统安全产生影响。为了增加安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    • CVE-2017-7308 [重要]
      Linux内核的网络实现中packet_set_ring()函数被发现没有正确地验证某些块大小的数据,具有CAP_NET_RAW能力的本地攻击者利用这个漏洞可以 触发缓冲区溢出,从而导致系统崩溃。

    • CVE-2016-10208 [中等]
      手动将 EXT4 分区安装为只读可能会导致 SLAB-Out-of-Bounds 读取和内存损坏。

    • CVE-2016-7910 [中等]
      Linux内核的seq_file实现中发现了一个安全漏洞,本地攻击者可以通过put()函数指针中操纵内存,这可能会导致内存损坏和权限提升。

    • CVE-2016-8646 [中等]
      Linux内核中发现了一个漏洞,非特权的本地用户可以通过尝试强制内核中的散列算法解密一个空数据集,从而在shash_async_export()中触发oops。

    • CVE-2017-5986 [中等]
      早于v4.10-rc8版本的内核,如果套接字tx缓冲区已满,恶意应用程序可能会触发 Linux 内核的 sctp_wait_for_sndbuf 函数中的 BUG_ON。

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包,受影响的 BCLinux 7 客户端用户需要升级到 3.10.0-514.21.1.el7 版本。

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux ~]# ls -l /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update kernel
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.21.1.el7 will be installed
    --> Processing Dependency: linux-firmware >= 20160830-49 for package: kernel-3.10.0-514.21.1.el7.x86_64
    --> Running transaction check
    ---> Package linux-firmware.noarch 0:20150904-43.git6ebf5d5.el7 will be updated
    ---> Package linux-firmware.noarch 0:20160830-49.git7534e19.el7 will be an update
    --> Processing Conflict: kernel-3.10.0-514.21.1.el7.x86_64 conflicts xfsprogs < 4.3.0
    --> Restarting Dependency Resolution with new changes.
    --> Running transaction check
    ---> Package xfsprogs.x86_64 0:3.2.2-2.el7 will be updated
    ---> Package xfsprogs.x86_64 0:4.5.0-9.el7_3 will be an update
    --> Processing Conflict: kernel-3.10.0-514.21.1.el7.x86_64 conflicts kmod < 20-9
    --> Restarting Dependency Resolution with new changes.
    --> Running transaction check
    ---> Package kmod.x86_64 0:20-5.el7 will be updated
    ---> Package kmod.x86_64 0:20-9.el7 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                           Arch                      Version                                          Repository                  Size
    ===============================================================================================================================================
    Installing:
     kernel                            x86_64                    3.10.0-514.21.1.el7                              updates                     37 M
    Updating:
     kmod                              x86_64                    20-9.el7                                         base                       115 k
     xfsprogs                          x86_64                    4.5.0-9.el7_3                                    updates                    895 k
    Updating for dependencies:
     linux-firmware                    noarch                    20160830-49.git7534e19.el7                       base                        31 M
    
    Transaction Summary
    ===============================================================================================================================================
    Install  1 Package
    Upgrade  2 Packages (+1 Dependent package)
    
    Total download size: 70 M
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q kernel
    kernel-3.10.0-327.el7.x86_64
    kernel-3.10.0-514.21.1.el7.x86_64
    

    4.重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新