BLSA-2017:0082 – [重要] kernel 安全警告及修复方法



  • BLSA-2017:0082 – [重要] kernel 安全警告及修复方法

    问题描述

    最近 kernel 暴露出 一个本地竞争条件漏洞(CVE-2017-7533),可使本地用户通过构造的应用,获取提升的权限或造成拒绝服务(内存破坏)。为了增加安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    影响版本

    • BigCloud Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.3
    • CentOS Linux 7.3

    详细介绍

    安全更新

    • CVE-2017-7533 [重要]
      Linux 内核的 fsnotify 实现中存在着一个本地竞争条件漏洞,可使本地用户通过构造的应用,获取提升的权限或造成拒绝服务(内存破坏)。

    漏洞更新

    • BZ#1446230
      在某些情况下,由于支持avx2的处理器上使用的sha1-avx2优化散列错误计算了偏移量,导致使用krb5安全策略的NFS客户端或服务器上偶尔会发生内核崩溃。

    • BZ#1472674
      当存在某些限制条件限制时,即使物理连续性很小,也不能合并一些小型的bios。在某些工作负载(如mkfs.ntfs)中,系统性能可能会降低十倍。

    • BZ#1472675
      当执行mkfs.btrfs命令在非易失性内存Express(NVMe)上创建btrfs文件系统时,会触发内核崩溃。

    • BZ#1473742
      作为BZ#147263的副作用,系统以前在创建容器设备时崩溃。所提供的修补程序将resched_task()函数转换为resched_curr(),因此在上述情况下可以减少内核崩溃的可能性。

    • BZ#1474263
      由于VXLAN驱动程序中错误使用内存,内核可能在某些情况下可能会在VXLAN接口关闭时发生故障。

    • BZ#1478253
      竞争条件可能导致异步缓冲区count(bt_io_count)变为负数,导致umount操作在xfs_wait_buftarg()函数中被挂起。

    • BZ#1479245
      内核版本3.10.0-498.el7分离CPU和TSC频率,默认情况下引入了指向native_calibrate_cpu()函数的x86_platform.calibrate_cpu函数指针。因此,客户端上出现时间同步错误,会发生时间偏移。

    • BZ#1479760
      超过128个CPU的系统可能在智能平台管理界面(IPMI)服务停止之后并在关机期间发生崩溃。

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包,受影响的 BCLinux 7.3 客户端用户需要升级到 3.10.0-514.32.2.el7 版本。

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7 ~]# ll /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  969 Mar 13  2017 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1509 Mar  8  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  673 Mar  8  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1218 Mar  8  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Mar  8  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  811 Mar  8  2017 BigCloud.repo
    

    2.安装更新

    [root@BCLinux7 ~]# yum update kernel
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.32.2.el7 will be installed
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =======================================================================================================================================================================================
     Package                                 Arch                                    Version                                                Repository                                Size
    =======================================================================================================================================================================================
    Installing:
     kernel                                  x86_64                                  3.10.0-514.32.2.el7                                    updates                                   37 M
    
    Transaction Summary
    =======================================================================================================================================================================================
    Install  1 Package
    
    Total download size: 37 M
    Installed size: 148 M
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux7 ~]# rpm -q kernel
    kernel-3.10.0-514.el7.x86_64
    kernel-3.10.0-514.32.2.el7.x86_64
    

    4.重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新