BLSA-2018:0030 – [重要] qemu-kvm安全更新


 • BCLinux Developers

  问题描述

  基于内核的虚拟机(KVM)是适用于各种架构的Linux的完整虚拟化解决方案。qemu-kvm软件包为运行使用KVM的虚拟机提供用户空间组件。
  在现代许多微处理器设计中,都实现了负载和存储指令的推测执行(通常使用的性能优化),这是一个全行业的问题。它依赖于特权代码中精确定义的指令序列,以及可以从最近的内存写入地址中读取旧的数据,并随后导致微处理器高速更新缓存数据,即使是未真正提交的指令。因此,一个无特权攻击者可以通过执行有针对性的高速缓存侧通道攻击来使用该缺陷来读取特权内存。(CVE-2018-3639 virt-ssbd AMD)

  注意:这是qemu-kvm关于CVE-2018-3639漏洞的缓解方案。

  影响版本

  • Big Cloud Enterprise Linux 7.2

  详细介绍

  安全修复

  [CVE-2018-3639 [重要]]

  解决方案

  目前,BCLinux 的官方源已经提供 qemu-kvm 的更新软件包,受影响的 BCLinux 7.2 客户端用户需要升级到 qemu-kvm-1.5.3-105.el7_2.18.x86_64 版本。

  1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

  [root@BCLinux7 ~]# ls -l /etc/yum.repos.d/
  total 24
  -rw-r--r--. 1 root root 970 Mar 29 04:26 BCLinux-Base.repo
  -rw-r--r--. 1 root root 1512 Apr 9 2017 BCLinux-CR.repo
  -rw-r--r--. 1 root root 676 Apr 9 2017 BCLinux-Debuginfo.repo
  -rw-r--r--. 1 root root 1220 Apr 9 2017 BCLinux-Kernel.repo
  -rw-r--r--. 1 root root 1027 Apr 9 2017 BCLinux-Source.repo
  -rw-r--r--. 1 root root 807 Apr 9 2017 BigCloud.repo
  
  

  2.安装更新

  [root@BCLinux7_2 ~]# yum update qemu-kvm
  Loaded plugins: fastestmirror, langpacks
  Loading mirror speeds from cached hostfile
  Resolving Dependencies
  --> Running transaction check
  ---> Package qemu-kvm.x86_64 10:1.5.3-105.el7 will be updated
  ---> Package qemu-kvm.x86_64 10:1.5.3-105.el7_2.18 will be an update
  --> Processing Dependency: qemu-kvm-common = 10:1.5.3-105.el7_2.18 for package: 10:qemu-kvm-1.5.3-105.el7_2.18.x86_64
  --> Processing Dependency: qemu-img = 10:1.5.3-105.el7_2.18 for package: 10:qemu-kvm-1.5.3-105.el7_2.18.x86_64
  --> Running transaction check
  ---> Package qemu-img.x86_64 10:1.5.3-105.el7 will be updated
  ---> Package qemu-img.x86_64 10:1.5.3-105.el7_2.18 will be an update
  ---> Package qemu-kvm-common.x86_64 10:1.5.3-105.el7 will be updated
  ---> Package qemu-kvm-common.x86_64 10:1.5.3-105.el7_2.18 will be an update
  --> Finished Dependency Resolution
  
  Dependencies Resolved
  
  ===================================================================================================================================================================================
   Package                   Arch                Version                        Repository              Size
  ===================================================================================================================================================================================
  Updating:
   qemu-kvm                   x86_64               10:1.5.3-105.el7_2.18                 updates               1.9 M
  Updating for dependencies:
   qemu-img                   x86_64               10:1.5.3-105.el7_2.18                 updates               663 k
   qemu-kvm-common               x86_64               10:1.5.3-105.el7_2.18                 updates               396 k
  
  Transaction Summary
  ===================================================================================================================================================================================
  Upgrade 1 Package (+2 Dependent packages)
  
  Total download size: 2.9 M
  Is this ok [y/d/N]:
  
  

  3.复查

  [root@BCLinux7_2 ~]# rpm -qa|grep qemu-kvm
  qemu-kvm-common-1.5.3-105.el7_2.18.x86_64
  qemu-kvm-1.5.3-105.el7_2.18.x86_64
  
  

  4.重启服务

  安装升级包以后,重启相关服务方能使更新生效。
  建议在重启之前,联系相关组件的使用者,确认重启的影响。

  外部链接

  1.BCLinux安全更新