BLSA-2017:0074 – [重要] kernel 安全警告及修复方法



  • BLSA-2017:0074 – [重要] kernel 安全警告及修复方法

    问题描述

    最近,kernel 暴露出一些安全漏洞,攻击者可以利用这些漏洞,对系统安全产生影响。为了增加安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    影响版本

    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 6
    • CentOS Linux 6

    详细介绍

    安全修复

    • CVE-2017-7895[重要]
      Linux内核中的NFSv2和NFSv3服务实现缺少对缓冲区结束时的一些检查。远程攻击者可能会触发指针算术错误,或者可能使用fs/nfsd/nfs3xdr.c and fs/nfsd/nfsxdr.c相关的请求造成其它未指定的影响。

    漏洞修复

    • BZ#1450850
      如果挂载的NFS共享文件系统空闲,其传输控制协议(TCP)连接因此终止之后启动了多个文件操作,这些操作可能会导致NFS客户端发送多个TCP SYN分组。通过此次更新,重新连接逻辑被修复,并且只正常发送一个TCP SYN分组。

    • BZ#1457347
      当ixgbe驱动程序加载了背板连接的网卡时,可能会发生内核崩溃,因为在初始化之前使用了ops.setup_fc函数指针。通过此更新,ops.setup_fc被初始化,ixgbe驱动程序在负载时也能正常运行。

    • BZ#1449096
      当在NFSv4目录中设置具有190个以上访问控制条目(ACE)的访问控制列表(ACL)时,之前可能会发生内核崩溃。此次更新修复了nfs4_getfacl()函数,并且在上述情况下内核不会崩溃。

    • BZ#1466667
      当升级内核修复堆栈保护漏洞时,Java虚拟机(JVM)环境中可能会发生崩溃。通过此次更新,基础源代码被修复,JVM环境中不会发生崩溃。

    • BZ#1450870
      当程序使用原始套接字接收IPv6数据包时,ioctl(FIONREAD)和ioctl(SIOCINQ)函数可能会错误地返回零等待字节。此次更新修复了ip6_input_finish()函数来检查原始有效负载大小。从而使ioctl()函数现在可以正确返回在原始套接字中等待的字节。

    • BZ#1445179
      之前在非标准的XFS文件系统上列出目录可能导致由于xfs_dir2_leaf_readbuf()函数中的数组索引溢出而导致软锁定。此次更新修复了xfs_dir2_leaf_readbuf()函数,并且在所述情况下,软锁定不再发生。

    • BZ#1455550
      此次更新修复了libfc驱动程序,从而修复了错误消息和数据损坏。

    • BZ#1444351
      此更新修复了Linux内核的HugeTLB功能,以检查page_check_address()函数中的Page Table Entry(PTE)NULL指针,从而避免发生内核崩溃。

    解决方案

    BCLinux的官方源已经可以提供更新的 kernel 软件包,受影响的BCLinux 客户端用户需要升级到 2.6.32-696.6.3.el6.x86_64 版本 。

    BCLINX 用户安装更新步骤如下:
    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ls -l /etc/yum.repos.d/
    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update kernel
    Loaded plugins: fastestmirror
    Setting up Update Process
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:2.6.32-696.6.3.el6 will be installed
    --> Processing Dependency: kernel-firmware >= 2.6.32-696.6.3.el6 for package: kernel-2.6.32-696.6.3.el6.x86_64
    --> Running transaction check
    ---> Package kernel-firmware.noarch 0:2.6.32-696.3.2.el6 will be updated
    ---> Package kernel-firmware.noarch 0:2.6.32-696.6.3.el6 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =====================================================================================================================================================================
     Package                                    Arch                              Version                                       Repository                          Size
    =====================================================================================================================================================================
    Installing:
     kernel                                     x86_64                            2.6.32-696.6.3.el6                            updates                             32 M
    Updating for dependencies:
     kernel-firmware                            noarch                            2.6.32-696.6.3.el6                            updates                             29 M
    
    Transaction Summary
    =====================================================================================================================================================================
    Install       1 Package(s)
    Upgrade       1 Package(s)
    
    Total download size: 61 M
    Is this ok [y/N]: y
    
    

    4.复查

    [root@BCLinux ~]# rpm -q kernel
    kernel-2.6.32-642.el6.x86_64
    kernel-2.6.32-696.3.1.el6.x86_64
    kernel-2.6.32-696.3.2.el6.x86_64
    kernel-2.6.32-696.6.3.el6.x86_64
    

    5.重启机器
    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待