BLSA-2018:0034 – [重要] kernel的安全警告及修复方法


  • BCLinux Developers

    问题描述

    内核包包含Linux内核,这是任何Linux操作系统的核心。

    安全修复:

    • kernel:kernel / time / posix-timers.c中show_timer函数的越界访问(CVE-2017-18344)
    • kernel:Linux的create_elf_tables函数中的整数溢出(CVE-2018-14634)

    BUG修复:

    • 在BigCloud Enterprise Linux 7.3系统上使用OpenShift 3.5时,节点有时在CPU软件锁定后进入“NodeNotReady”状态,导致该节点不可用。此更新修复了内存压缩和inode内存回收中的一些调度延迟源。节点不再进入“NodeNotReady”状态。(BZ#1625866)
    • 以前,当内核尝试对没有扩展页表(EPT)支持的系统上描述L1终端故障(L1TF)缓解状态的数组进行超出限制访问时,就会发生内核异常错误。此更新扩展了缓解状态数组以覆盖所有状态,从而有效地防止了超出绑定的数组访问。此外,此更新还可以拒绝用户空间可能错误提供的无效,无关的值。结果,内核在所描述的场景中正常运行。(BZ#1629566)
    • 以前,如果未应用硬件校验和,那么在完整校验和计算期间,如果数据包缺少用户数据协议(UDP)有效负载校验和,会导致对等体丢弃了具有不正确校验和的分组。通过此更新,内核在完整校验和计算期间包括UDP有效负载校验和时,能正确计算校验和,并且对等体可以接收分组。(BZ#1635794)

    影响版本

    • BigCloud Enterprise Linux 7.3

    详细介绍

    安全修复

    [CVE-2017-18344 [重要]]
    [CVE-2018-14634 [重要]]

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包。

    受影响的 BCLinux 7.3 客户端用户需要升级到 kernel-3.10.0-514.61.1.el7.x86_64 版本;

    1. 检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    

    若yum源有问题可以在我们的官网BCLinux, 选择配置生成器,选择对应版本,重建repo。

    2. 安装更新

    [root@BCLinux7_3 ~]# yum update kernel
    Loaded plugins: fastestmirror
    Repository kernel is listed more than once in the configuration
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.61.1.el7 will be installed
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ==============================================================================================================================================================================================================================================================================
     Package                                                       Arch                                                          Version                                                                     Repository                                                      Size
    ==============================================================================================================================================================================================================================================================================
    Installing:
     kernel                                                        x86_64                                                        3.10.0-514.61.1.el7                                                         updates                                                         38 M
    
    Transaction Summary
    ==============================================================================================================================================================================================================================================================================
    Install  1 Package
    
    Total download size: 38 M
    Installed size: 150 M
    Is this ok [y/d/N]:
    
    

    3. 复查

    [root@BCLinux7_3 ~]# rpm -q kernel
    kernel-3.10.0-514.el7.x86_64
    kernel-3.10.0-514.28.1.el7.x86_64
    kernel-3.10.0-514.32.3.el7.x86_64
    kernel-3.10.0-514.61.1.el7.x86_64
    

    4.重启服务

    安装升级包以后,重启相关服务或服务器方能使更新生效。
    建议在重启之前,联系相关组件的使用者,确认重启的影响。

    外部链接

    1.BCLinux安全更新