BLSA-2018:0021 – [严重] librelp安全更新



  • 问题描述

    Librelp是一个易于使用的可靠事件记录协议(RELP)协议库。RELP是一种通用的可扩展日志记录协议。

    在librelp解析X.509证书的方式中发现了基于堆栈的缓冲区溢出。通过连接或接受来自远程对等方的连接,攻击者可能会使用特制的X.509证书来利用此漏洞并可能执行任意代码。 (CVE-2018-1000140)

    影响版本

    • BigCloud Enterprise Linux 7.3
    • BigCloud Enterprise Linux 7.2
    • Red Hat Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.2
    • CentOS Linux 7.3
    • CentOS Linux 7.2

    详细介绍

    安全修复

    [CVE-2018-1000140 [重要]]

    解决方案

    目前,BCLinux 的官方源已经提供 librelp 的更新软件包,受影响的 BCLinux 7.2 客户端用户需要升级到 librelp-1.2.0-4.el7_2 版本,受影响的 BCLinux 7.3 客户端用户需要升级到 librelp-1.2.0-4.el7_3 版本。

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    

    2.安装更新

    7.2 升级示例

    [root@BCLinux7_2 ~]# yum update librelp
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package librelp.x86_64 0:1.2.0-3.el7 will be updated
    ---> Package librelp.x86_64 0:1.2.0-4.el7_2 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ==============================================================================================================================================================================================================================================================================
     Package                                                         Arch                                                           Version                                                                 Repository                                                       Size
    ==============================================================================================================================================================================================================================================================================
    Updating:
     librelp                                                         x86_64                                                         1.2.0-4.el7_2                                                           updates                                                          60 k
    
    Transaction Summary
    ==============================================================================================================================================================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 60 k
    Is this ok [y/d/N]: 
    
    

    7.3 升级示例

    [root@BCLinux7_3 ~]# yum update librelp
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package librelp.x86_64 0:1.2.0-3.el7 will be updated
    ---> Package librelp.x86_64 0:1.2.0-4.el7_3 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ==============================================================================================================================================================================================================================================================================
     Package                                                         Arch                                                           Version                                                                 Repository                                                       Size
    ==============================================================================================================================================================================================================================================================================
    Updating:
     librelp                                                         x86_64                                                         1.2.0-4.el7_3                                                           updates                                                          60 k
    
    Transaction Summary
    ==============================================================================================================================================================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 60 k
    Is this ok [y/d/N]: 
    
    

    3.复查

    7.2 复查示例

    [root@BCLinux7_2 ~]# rpm -qa|grep librelp
    librelp-1.2.0-4.el7_2.x86_64
    
    

    7.3 复查示例

    [root@BCLinux7_3 ~]# rpm -qa|grep librelp
    librelp-1.2.0-4.el7_3.x86_64
    
    

    4.重启服务

    安装升级包以后,重启相关服务方能使更新生效。
    建议在重启之前,联系相关组件的使用者,确认重启的影响。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待