BLSA-2018:0019 – [重要] qemu-kvm安全更新



  • 问题描述

    基于内核的虚拟机(KVM)是适用于各种架构的Linux的完整虚拟化解决方案。qemu-kvm软件包为运行使用KVM的虚拟机提供用户空间组件。
    在现代许多微处理器设计中,都实现了负载和存储指令的推测执行(通常使用的性能优化),这是一个全行业的问题。它依赖于特权代码中精确定义的指令序列,以及可以从最近的内存写入地址中读取旧的数据,并随后导致微处理器高速更新缓存数据,即使是未真正提交的指令。因此,一个无特权攻击者可以通过执行有针对性的高速缓存侧通道攻击来使用该缺陷来读取特权内存。(CVE-2018-3639)

    注意:这是qemu-kvm关于CVE-2018-3639漏洞的缓解方案。

    影响版本

    • BigCloud Enterprise Linux 7.3
    • BigCloud Enterprise Linux 7.2
    • Red Hat Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.2
    • CentOS Linux 7.3
    • CentOS Linux 7.2

    详细介绍

    安全修复

    [CVE-2018-3639 [重要]]

    解决方案

    目前,BCLinux 的官方源已经提供 qemu-kvm 的更新软件包,受影响的 BCLinux 7.2 客户端用户需要升级到 qemu-kvm-1.5.3-105.el7_2.17.x86_64 版本,受影响的 BCLinux 7.3 客户端用户需要升级到 qemu-kvm-1.5.3-126.el7_3.14.x86_64 版本。

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    

    2.安装更新

    7.2 升级示例

    [root@BCLinux7_2 ~]# yum update qemu-kvm
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package qemu-kvm.x86_64 10:1.5.3-105.el7 will be updated
    ---> Package qemu-kvm.x86_64 10:1.5.3-105.el7_2.17 will be an update
    --> Processing Dependency: qemu-kvm-common = 10:1.5.3-105.el7_2.17 for package: 10:qemu-kvm-1.5.3-105.el7_2.17.x86_64
    --> Processing Dependency: qemu-img = 10:1.5.3-105.el7_2.17 for package: 10:qemu-kvm-1.5.3-105.el7_2.17.x86_64
    --> Running transaction check
    ---> Package qemu-img.x86_64 10:1.5.3-105.el7 will be updated
    ---> Package qemu-img.x86_64 10:1.5.3-105.el7_2.17 will be an update
    ---> Package qemu-kvm-common.x86_64 10:1.5.3-105.el7 will be updated
    ---> Package qemu-kvm-common.x86_64 10:1.5.3-105.el7_2.17 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ==============================================================================================================================================================================================================================================================================
     Package                                                             Arch                                                       Version                                                                     Repository                                                   Size
    ==============================================================================================================================================================================================================================================================================
    Updating:
     qemu-kvm                                                            x86_64                                                     10:1.5.3-105.el7_2.17                                                       updates                                                     1.9 M
    Updating for dependencies:
     qemu-img                                                            x86_64                                                     10:1.5.3-105.el7_2.17                                                       updates                                                     662 k
     qemu-kvm-common                                                     x86_64                                                     10:1.5.3-105.el7_2.17                                                       updates                                                     396 k
    
    Transaction Summary
    ==============================================================================================================================================================================================================================================================================
    Upgrade  1 Package (+2 Dependent packages)
    
    Total download size: 2.9 M
    Is this ok [y/d/N]:
    
    

    7.3 升级示例

    [root@BCLinux7_3 ~]# yum update qemu-kvm
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package qemu-kvm.x86_64 10:1.5.3-126.el7 will be updated
    ---> Package qemu-kvm.x86_64 10:1.5.3-126.el7_3.14 will be an update
    --> Processing Dependency: qemu-kvm-common = 10:1.5.3-126.el7_3.14 for package: 10:qemu-kvm-1.5.3-126.el7_3.14.x86_64
    --> Processing Dependency: qemu-img = 10:1.5.3-126.el7_3.14 for package: 10:qemu-kvm-1.5.3-126.el7_3.14.x86_64
    --> Running transaction check
    ---> Package qemu-img.x86_64 10:1.5.3-126.el7 will be updated
    ---> Package qemu-img.x86_64 10:1.5.3-126.el7_3.14 will be an update
    ---> Package qemu-kvm-common.x86_64 10:1.5.3-126.el7 will be updated
    ---> Package qemu-kvm-common.x86_64 10:1.5.3-126.el7_3.14 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ============================================================================================================================================================================================================================================
     Package                                                     Arch                                               Version                                                           Repository                                           Size
    ============================================================================================================================================================================================================================================
    Updating:
     qemu-kvm                                                    x86_64                                             10:1.5.3-126.el7_3.14                                             updates                                             1.9 M
    Updating for dependencies:
     qemu-img                                                    x86_64                                             10:1.5.3-126.el7_3.14                                             updates                                             671 k
     qemu-kvm-common                                             x86_64                                             10:1.5.3-126.el7_3.14                                             updates                                             409 k
    
    Transaction Summary
    ============================================================================================================================================================================================================================================
    Upgrade  1 Package (+2 Dependent packages)
    
    Total download size: 2.9 M
    Is this ok [y/d/N]: 
    
    

    3.复查

    7.2 复查示例

    [root@BCLinux7_2 ~]# rpm -qa|grep qemu-kvm
    qemu-kvm-common-1.5.3-105.el7_2.17.x86_64
    qemu-kvm-1.5.3-105.el7_2.17.x86_64
    
    

    7.3 复查示例

    [root@BCLinux7_3 ~]# rpm -qa|grep qemu-kvm
    qemu-kvm-1.5.3-126.el7_3.14.x86_64
    qemu-kvm-common-1.5.3-126.el7_3.14.x86_64
    
    

    4.重启服务

    安装升级包以后,重启相关服务方能使更新生效。
    建议在重启之前,联系相关组件的使用者,确认重启的影响。

    外部链接

    1.BCLinux安全更新