BLSA-2018:0022 – [重要] kernel的安全警告及修复方法



  • 问题描述

    内核安全和错误修复更新
    内核包包含Linux内核,这是任何Linux操作系统的核心。

    • 在现代许多微处理器设计中,都实现了负载和存储指令的推测执行(通常使用的性能优化),这是一个全行业的问题。它依赖于特权代码中精确定义的指令序列,以及可以从最近的内存写入地址中读取旧的数据,并随后导致微处理器高速更新缓存数据,即使是未真正提交的指令。因此,一个无特权攻击者可以通过执行有针对性的高速缓存侧通道攻击来使用该缺陷来读取特权内存。(CVE-2018-3639)

    • Linux 4.11之前的Linux内核和4.9.36之前的4.9.x的版本中,net / netfilter / xt_TCPMSS.c中的tcpmss_mangle_packet函数允许远程攻击者导致拒绝服务(释放后使用和内存损坏)或可能未指定通过在iptables动作中利用xt_TCPMSS的存在来产生其他影响。由于缺陷的性质,特权升级不能完全排除,尽管我们认为这不太可能。

    注意:此问题存在于硬件中,无法通过软件更新完全修复。更新的内核软件包为此硬件问题提供了缓解的软件方面。为了充分发挥功能,需要在系统上应用最新的CPU微码。

    在此更新中,提供了PowerPC体系结构的缓解措施。

    影响版本

    • BigCloud Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.3
    • CentOS Linux 7.3

    详细介绍

    安全修复

    [CVE-2017-18017 [中等]]

    [CVE-2018-3639 [重要]]

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包。

    受影响的 BCLinux 7.3 客户端用户需要升级到 kernel-3.10.0-514.51.1.1.el7 版本。

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    

    2.安装更新

    [root@BCLinux7_3 ~]# yum update kernel
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.51.1.1.el7 will be installed
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =============================================================================================================================================================================================
     Package                                  Arch                                     Version                                                   Repository                                 Size
    =============================================================================================================================================================================================
    Installing:
     kernel                                   x86_64                                   3.10.0-514.51.1.1.el7                                     updates                                    38 M
    
    Transaction Summary
    =============================================================================================================================================================================================
    Install  1 Package
    
    Total download size: 38 M
    Installed size: 150 M
    Is this ok [y/d/N]: 
    
    

    3.复查

    [root@BCLinux7_3 ~]# rpm -qa|grep kernel
    kernel-3.10.0-514.el7.x86_64
    kernel-3.10.0-514.51.1.1.el7.x86_64
    
    

    4.重启服务

    安装升级包以后,重启相关服务方能使更新生效。
    建议在重启之前,联系相关组件的使用者,确认重启的影响。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待