BLSA-2018:0011 – [重要] kernel的安全警告及修复方法


  • BCLinux Developers

    BLSA-2018:0011 – [重要] kernel的安全警告及修复方法

    问题描述

           最近 kernel 暴露出安全漏洞(CVE-2017-8824),攻击者可以利用这个漏洞,对系统安全产生影响。为了增加安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    影响版本

    • BigCloud Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.3
    • CentOS Linux 7.3

    详细介绍

    安全修复

    漏洞修复

    • BZ#1530128
      此修复更新了内核代码,以避免无效的vzalloc调用,并且dmesg错误不再发生。
    • BZ#1530134
      之前,如果NFSv4挂载时遇到了尚未完成初始化的NFS客户端结构,那么中继检测逻辑就会等待NFSv4挂载完成。因此,如果一个并发的NFSv4 挂载操作向NFS客户端结构的列表中添加了另一个项,那么NFS客户端就不能开始初始化,它在等待其他进程所持有的互斥锁,并且发生了死锁。此更新修复了NFS在将新结构添加到列表之前等待NFS客户端结构的初始化完成。这样死锁不再发生,NFS客户端现在可以按照所描述的情况进行初始化。
    • BZ#1535880
      如果可扩展固件接口(EFI)创建了一组新的页表并在低位地址映射了段代码,那么操作系统(OS)就无法启动。这个更新修复了EFI代码,并且操作系统在以上的描述情况下可以按照预期的方式启动。
    • BZ#1539648
      Retpoline 机制可以缓解分支目标注射,也就是所谓的幽灵变种2漏洞。 通过此次更新,Retpoline已经实施到BCLinux内核中。
    • BZ#1540088
      此更新在/ proc / cpuinfo文件中添加了新的一行,以显示IBM z系统上stfle指令报告的所有可用工具。

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包,受影响的 BCLinux 7.3 客户端用户需要升级到 3.10.0-514.44.1.1.el7 版本。

    1. 检查YUM源设置,确保使用的是 BCLinux 官方YUM源
    [root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    
    1. 安装更新
    [root@BCLinux7_3 ~]# yum update kernel
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-514.44.1.1.el7 will be installed
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ====================================================================================================================================================
     Package                        Arch                           Version                                        Repository                       Size
    ====================================================================================================================================================
    Installing:
     kernel                         x86_64                         3.10.0-514.44.1.1.el7                          updates                          38 M
    
    Transaction Summary
    ====================================================================================================================================================
    Install  1 Package
    
    Total download size: 38 M
    Installed size: 150 M
    Is this ok [y/d/N]: y
    
    1. 复查
    [root@BCLinux7_3 ~]# rpm -q kernel
    kernel-3.10.0-514.el7.x86_64
    kernel-3.10.0-514.44.1.1.el7.x86_64
    
    1. 重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待