BLSA-2018:0016 – [重要] kernel的安全警告及修复方法



  • BLSA-2018:0016 – [重要] kernel的安全警告及修复方法

    问题描述

           内核包包含Linux内核,这是任何Linux操作系统的核心。
           内核:KVM:异常处理中的错误导致错误的调试堆栈值(CVE-2018-1087)
           内核:异常处理中的错误导致DoS(CVE-2018-8897)
           内核:ptrace()不正确的错误处理导致损坏和DoS(CVE-2018-1000199)

    影响版本

    • BigCloud Enterprise Linux 7.2
    • Red Hat Enterprise Linux 7.2
    • CentOS Linux 7.2

    详细介绍

    安全修复

    [CVE-2018-1087 [重要]]

    Linux内核的KVM管理程序通过处理Mov SS,Pop SS指令,在进行堆栈切换操作后发现了一个异常的漏洞。在堆栈切换操作期间,处理器传送异常,在堆栈切换执行后的第一条指令后传送。未经授权的KVM访客用户可能会使用此漏洞使访客崩溃,或者可能会使访客中的访问权限升级。

    [CVE-2018-8897 [重要]]

    Linux内核的KVM管理程序通过处理Mov SS,Pop SS指令,在进行堆栈切换操作后发现了一个异常的漏洞。在堆栈切换操作期间,处理器传送异常,在堆栈切换执行后的第一条指令后传送。一个没有特权的系统用户可以利用这个漏洞来破坏系统内核,导致拒绝服务。

    [CVE-2018-1000199 [重要]]

    在用硬件断点(CONFIG_HAVE_HW_BREAKPOINT)支持构建的Linux内核中发现地址损坏漏洞。在通过'modify_user_hw_breakpoint'例程修改h/w断点时,非特权用户/进程可能会使用此缺陷来使系统内核崩溃,从而导致DoS攻击或者可能会提升系统的权限。

    解决方案

    目前,BCLinux 的官方源已经提供 kernel 的更新软件包,受影响的 BCLinux 7.2 客户端用户需要升级到 kernel-3.10.0-327.66.3.el7 版本。

    1. 检查YUM源设置,确保使用的是 BCLinux 官方YUM源
    [root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo
    
    
    1. 安装更新
    [root@BCLinux7_3 ~]#  yum install kernel-3.10.0-327.66.3.el7.x86_64 
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package kernel.x86_64 0:3.10.0-327.66.3.el7 will be installed
    --> Processing Conflict: kernel-3.10.0-327.66.3.el7.x86_64 conflicts kmod < 20-8
    --> Restarting Dependency Resolution with new changes.
    --> Running transaction check
    ---> Package kmod.x86_64 0:20-5.el7 will be updated
    ---> Package kmod.x86_64 0:20-9.el7 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =====================================================================================================================================================
     Package                         Arch                            Version                                         Repository                     Size
    =====================================================================================================================================================
    Installing:
     kernel                          x86_64                          3.10.0-327.66.3.el7                             updates                           33 M
    Updating:
     kmod                            x86_64                          20-9.el7                                        base                          115 k
    
    Transaction Summary
    =====================================================================================================================================================
    Install  1 Package
    Upgrade  1 Package
    
    Total size: 33 M
    Total download size: 33 M
    Is this ok [y/d/N]:
    
    
    
    1. 复查
    [root@BCLinux7_3 ~]# rpm -q kernel
    kernel-3.10.0-327.el7.x86_64
    kernel-3.10.0-327.66.3.el7.x86_64
    
    
    1. 重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待