BLSA-2017:0078 – [重要] kernel 安全警告及修复方法



  • BLSA-2017:0078 – [重要] kernel 安全警告及修复方法

    问题描述

    最近 kernel 暴露出 4个安全漏洞(CVE-2016-10200、CVE-2017-2647、CVE-2017-8797、CVE-2015-8970),这些安全漏洞会对系统安全产生影响。为了增加安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    安全修复

    • CVE-2016-10200 [重要]
      Linux内核中发现了一个支持L2TPv3的IP封装特性中的竞态条件的use-after-free漏洞,本地攻击者可以利用此漏洞升级其权限或使系统崩溃。

    • CVE-2017-2647 [重要]
      如果type-> match为NULL,该漏洞会在keyring.c中的keyring_search_iterator中触发,本地攻击者可以利用此漏洞使系统崩溃,或者潜在地升级其权限。

    • CVE-2017-8797 [重要]
      Linux内核中的NFSv4服务器在处理NFSv4 pNFS LAYOUTGET和GETDEVICEINFO操作数时,未正确验证布局类型。远程攻击者可以利用此漏洞来软锁定系统,从而导致拒绝服务。

    • CVE-2015-8970 [中等]
      在4.5之前的Linux内核中,“crypto / lrw.c”中的lrw_crypt()函数允许本地用户通过accept(2)调用AF_ALG而无需调用setkey()来设置密码密钥,造成系统崩溃和拒绝服务。

    漏洞修复

    • BZ#1434853
      当使用IBM Power 8 SMT8模式运行LPAR时,由于负载从同一个内核的线程扩展从而使系统性能降低。此更新确保负载分布在各个内核之间,从而提高系统性能。

    • BZ#1446783
      在重新启动时,网络适配器端口的bond绑定在备份状态下变得无响应,bond绑定不传输任何LACP PDU,并且绑定界面从未生成正确。通过此更新,bond绑定可以按照预期传输LACP PDU。

    • BZ#1447718
      当尝试使用KVM访客中的虚拟功能I / O(VFIO)配置两个或多个以太网适配器卡时,以前无法启动的KVM客户机返回错误消息。

    • BZ#1458203
      在sysfs文件系统的特定文件中设置“掩码”来定义可以运行未绑定的工作人员的CPU,从而隔离CPU。但是,此设置无法正常工作,无限制的kworkers在设置为_NOT_运行的CPU上被激活。此更新可防止未绑定的工作人员在被屏蔽的CPU上运行。

    • BZ#1460204
      由于回归,内核无法创建/ sys / block // devices / enclosure_device符号链接。此更新会更正对scsi_is_sas_rphy()函数的调用,该函数现在在SAS终端设备上进行,而不是SCSI设备。

    • BZ#1463359
      在SATA SDD驱动器上新创建的软件RAID1分区上运行mkfs.ext4时,系统出现告警。此更新确保ext4文件系统在/ dev / md0分区上创建,并成功安装。

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包,受影响的 BCLinux 7 客户端用户需要升级到 3.10.0-514.28.1.el7 版本。

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7 ~]# ll /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  969 Mar 13 13:09 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1509 Mar  8 17:57 BCLinux-CR.repo
    -rw-r--r--. 1 root root  673 Mar  8 17:57 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1218 Mar  8 17:57 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Mar  8 17:57 BCLinux-Source.repo
    -rw-r--r--. 1 root root  811 Mar  8 17:57 BigCloud.repo
    

    2.安装更新

    [root@BCLinux7 ~]# yum update kernel
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.28.1.el7 will be installed
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ==========================================================================================================================================================
     Package                          Arch                             Version                                        Repository                         Size
    ==========================================================================================================================================================
    Installing:
     kernel                           x86_64                           3.10.0-514.28.1.el7                            updates                            37 M
    
    Transaction Summary
    ==========================================================================================================================================================
    Install  1 Package
    
    Total download size: 37 M
    Installed size: 148 M
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux7 ~]# rpm -q kernel
    kernel-3.10.0-514.el7.x86_64
    kernel-3.10.0-514.28.1.el7.x86_64
    
    

    4.重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待