BLSA-2017:0079 – [重要] kernel 安全警告及修复方法



  • BLSA-2017:0079 – [重要] kernel 安全警告及修复方法

    问题描述

    最近 kernel 暴露出 4个安全漏洞(CVE-2016-10200、CVE-2017-2647、CVE-2017-8797、CVE-2015-8970),这些安全漏洞会对系统安全产生影响。为了增加安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    影响版本

    • BigCloud Enterprise Linux for DCOS V1
    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    安全修复

    • CVE-2016-10200 [重要]
      Linux内核中发现了一个支持L2TPv3的IP封装特性中的竞态条件的use-after-free漏洞,本地攻击者可以利用此漏洞升级其权限或使系统崩溃。

    • CVE-2017-2647 [重要]
      如果type-> match为NULL,该漏洞会在keyring.c中的keyring_search_iterator中触发,本地攻击者可以利用此漏洞使系统崩溃,或者潜在地升级其权限。

    • CVE-2017-8797 [重要]
      Linux内核中的NFSv4服务器在处理NFSv4 pNFS LAYOUTGET和GETDEVICEINFO操作数时,未正确验证布局类型。远程攻击者可以利用此漏洞来软锁定系统,从而导致拒绝服务。

    • CVE-2015-8970 [中等]
      在4.5之前的Linux内核中,“crypto/lrw.c”中的lrw_crypt()函数允许本地用户通过accept(2)调用AF_ALG而无需调用setkey()来设置密码密钥,造成系统崩溃和拒绝服务。

    漏洞修复

    • BZ#1434853
      当使用IBM Power 8 SMT8模式运行LPAR时,由于负载从同一个内核的线程扩展从而使系统性能降低。此更新确保负载分布在各个内核之间,从而提高系统性能。

    • BZ#1446783
      在重新启动时,网络适配器端口的bond绑定在备份状态下变得无响应,bond绑定不传输任何LACP PDU,并且绑定界面从未生成正确。通过此更新,bond绑定可以按照预期传输LACP PDU。

    • BZ#1447718
      当尝试使用KVM访客中的虚拟功能I/O(VFIO)配置两个或多个以太网适配器卡时,以前无法启动的KVM客户机返回错误消息。

    • BZ#1458203
      在sysfs文件系统的特定文件中设置“掩码”来定义可以运行未绑定的工作人员的CPU,从而隔离CPU。但是,此设置无法正常工作,无限制的kworkers在设置为_NOT_运行的CPU上被激活。此更新可防止未绑定的工作人员在被屏蔽的CPU上运行。

    • BZ#1460204
      由于回归,内核无法创建/sys/block//devices/enclosure_device符号链接。此更新会更正对scsi_is_sas_rphy()函数的调用,该函数现在在SAS终端设备上进行,而不是SCSI设备。

    • BZ#1463359
      在SATA SDD驱动器上新创建的软件RAID1分区上运行mkfs.ext4时,系统出现告警。此更新确保ext4文件系统在/dev/md0分区上创建,并成功安装。

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包,受影响的容器定制版客户端用户需要升级到 3.10.0-514.28.1.el7 版本。

    1.增加容器定制版源,配置文件内容如下:

    [root@bclinux ~]# cat /etc/yum.repos.d/BCLinux.repo 
    [base]
    name=BCLinux-for-DCOS - Base
    baseurl=http://mirrors.bclinux.org/bclinux/dcos/os/$basearch/
    gpgchek=0
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-BCLinux-7
    
    [updates]
    name=BCLinux-for-DCOS - Updates    
    baseurl=http://mirrors.bclinux.org/bclinux/dcos/updates/$basearch/
    gpgcheck=0
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-BCLinux-7
    

    2.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@bclinux ~]# ll /etc/yum.repos.d/
    total 4
    -rw-r--r--. 1 root root 339 May  4 08:17 BCLinux.repo
    

    3.安装更新

    [root@bclinux ~]# yum update kernel
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.28.1.el7 will be installed
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ==================================================================================
     Package        Arch           Version                      Repository       Size
    ==================================================================================
    Installing:
     kernel         x86_64         3.10.0-514.28.1.el7          updates          37 M
    
    Transaction Summary
    ==================================================================================
    Install  1 Package
    
    Total download size: 37 M
    Installed size: 148 M
    Is this ok [y/d/N]: y
    

    4.复查

    [root@bclinux ~]# rpm -q kernel
    kernel-3.10.0-327.el7.x86_64
    kernel-3.10.0-514.28.1.el7.x86_64
    

    5.重启机器
    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新