BLSA-2018:0028 – [重要] kernel的安全警告及修复方法



  • 问题描述

    内核包包含Linux内核,这是任何Linux操作系统的核心。

    • 现代操作系统实现物理内存的虚拟化,以有效地使用可用的系统资源,并通过访问控制和隔离提供域间保护。L1TF问题在x86微处理器设计实现指令的推测执行(常用的性能优化)以及处理由终止的虚拟到物理地址解析过程引起的页面错误的方式中找到。因此,非特权攻击者可以利用此漏洞读取内核或其他进程的特权内存和/或跨客户/主机边界,以通过执行目标缓存侧通道攻击来读取主机内存。(CVE-2018-3620,CVE-2018-3646)
    • 由于CPU的推测执行引擎中存在错误,CPU可能先前从系统上的其他进程泄漏数据,包括密码,加密密钥或其他敏感信息。通过此更新,内核构建要求已更新为GNU编译器集合(GCC)编译器版本,该版本支持针对IBM z Systems的Expoline。结果,在所描述的情况下不再发生数据泄漏。(BZ#1577761)

    影响版本

    • BigCloud Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.3
    • CentOS Linux 7.3

    详细介绍

    安全修复

    [CVE-2018-3620 [重要]]
    [CVE-2018-3646 [重要]]

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包。

    受影响的 BCLinux 7.3 客户端用户需要升级到 kernel-3.10.0-514.55.4.el7 版本。

    1. 检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    

    2. 安装更新

    [root@BCLinux7_3 ~]# yum update kernel
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.55.4.el7 will be installed
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =============================================================================================================================================================================================
     Package                                   Arch                                      Version                                                Repository                                  Size
    =============================================================================================================================================================================================
    Installing:
     kernel                                    x86_64                                    3.10.0-514.55.4.el7                                    updates                                     38 M
    
    Transaction Summary
    =============================================================================================================================================================================================
    Install  1 Package
    
    Total download size: 38 M
    Installed size: 150 M
    Is this ok [y/d/N]: 
    
    

    3. 复查

    [root@BCLinux7_3 ~]# rpm -qa|grep kernel
    kernel-3.10.0-514.55.4.el7.x86_64
    kernel-3.10.0-514.el7.x86_64
    
    

    4.重启服务

    安装升级包以后,重启相关服务或服务器方能使更新生效。
    建议在重启之前,联系相关组件的使用者,确认重启的影响。

    外部链接

    1.BCLinux安全更新