BLSA-2018:0013 – [重要] kernel的安全警告及修复方法

问题描述

       最近 kernel 暴露出安全漏洞（CVE-2017-5754），攻击者可以使用此缺陷对有目标缓存侧向通道攻击来读取特权(内核空间)内存。

影响版本

• BigCloud Enterprise Linux 7.3
• Red Hat Enterprise Linux 7.3
• CentOS Linux 7.3

详细介绍

安全修复

• [CVE-2017-5754 [重要]]
  变体CVE-2017-5754被发现，在受影响的微处理器上，在对指令权限错误的推测执行过程中，生成错误访问触发的异常被抑制，直到整个指令块的退出为止，一个没有被授权的本地攻击者可以通过执行有针对性的缓存旁通道来读取特权（内核空间）内存进行发起攻击。

解决方案

目前，BCLinux 的官方源已经提供 kernel 的更新软件包，受影响的 BCLinux 7.3 客户端用户需要升级到 3.10.0-514.48.1.1.el7 版本。

1. 检查YUM源设置，确保使用的是 BCLinux 官方YUM源

[root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
total 24
-rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
-rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
-rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
-rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
-rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
-rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo

2. 安装更新

[root@BCLinux7_3 ~]# yum update kernel-3.10.0-514.48.1.1.el7
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Resolving Dependencies
--> Running transaction check
---> Package kernel.x86_64 0:3.10.0-514.48.1.1.el7 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

====================================================================================================================================================
 Package                        Arch                           Version                                        Repository                       Size
====================================================================================================================================================
Installing:
 kernel                         x86_64                         3.10.0-514.48.1.1.el7                          updates                          38 M

Transaction Summary
====================================================================================================================================================
Install  1 Package

Total download size: 38 M
Installed size: 150 M
Is this ok [y/d/N]: 

3. 复查

[root@BCLinux7_3 ~]# rpm -q kernel
kernel-3.10.0-514.el7.x86_64
kernel-3.10.0-514.48.1.1.el7.x86_64

4. 重启机器

安装升级包以后，重启机器，更新生效。

外部链接

1.BCLinux安全更新

BLSA-2018:0012 – [重要] bind的安全警告及修复方法

问题描述

       BIND是一个应用非常广泛的DNS协议的实现，它是美国加州大学Berkeley分校开发和维护的一套DNS域名解析服务软件。最近暴露出一个安全漏洞（CVE-2017-3145），在解析器中，错误的获取清理顺序会导致bind服务崩溃。

什么是bind？
Berkeley Internet Name Domain（BIND）是域名系统（DNS）协议的实现。BIND包括一个DNS服务器（命名）；一个解析器库（用于在与DNS交互时使用的应用程序）；以及用于验证DNS服务器是否正确运行的工具。

影响版本

• BigCloud Enterprise Linux 7.3
• Red Hat Enterprise Linux 7.3
• CentOS Linux 7.3

详细介绍

安全修复

• CVE-2017-3145[重要]
  bind在解析器中不正确的获取清理排序可能会导致bind服务崩溃。
  有关该安全漏洞问题（s）的更多细节，包括漏洞影响、CVSS分数和其他相关信息，请参考CVE链接页面。

解决方案

目前，BCLinux 的官方源已经提供 bind 的更新软件包，受影响的 BCLinux 7.3 客户端用户需要升级到 9.9.4-50.el7_3.3 版本。

1. 检查YUM源设置，确保使用的是 BCLinux 官方YUM源

[root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
total 24
-rw-r--r--. 1 root root 1093 Mar 29 08:09 BCLinux-Base.repo
-rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
-rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
-rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
-rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
-rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo

2. 安装更新

[root@BCLinux7_3 ~]# yum update bind
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Resolving Dependencies
--> Running transaction check
---> Package bind.x86_64 32:9.9.4-37.el7 will be updated
---> Package bind.x86_64 32:9.9.4-50.el7_3.3 will be an update
--> Processing Dependency: bind-libs = 32:9.9.4-50.el7_3.3 for package: 32:bind-9.9.4-50.el7_3.3.x86_64
--> Running transaction check
---> Package bind-libs.x86_64 32:9.9.4-37.el7 will be updated
---> Package bind-libs.x86_64 32:9.9.4-50.el7_3.3 will be an update
--> Processing Dependency: bind-license = 32:9.9.4-50.el7_3.3 for package: 32:bind-libs-9.9.4-50.el7_3.3.x86_64
--> Running transaction check
---> Package bind-license.noarch 32:9.9.4-37.el7 will be updated
--> Processing Dependency: bind-license = 32:9.9.4-37.el7 for package: 32:bind-libs-lite-9.9.4-37.el7.x86_64
---> Package bind-license.noarch 32:9.9.4-50.el7_3.3 will be an update
--> Running transaction check
---> Package bind-libs-lite.x86_64 32:9.9.4-37.el7 will be updated
---> Package bind-libs-lite.x86_64 32:9.9.4-50.el7_3.3 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

====================================================================================================================================================
 Package                              Arch                         Version                                      Repository                     Size
====================================================================================================================================================
Updating:
 bind                                 x86_64                       32:9.9.4-50.el7_3.3                          updates                       1.8 M
Updating for dependencies:
 bind-libs                            x86_64                       32:9.9.4-50.el7_3.3                          updates                       1.0 M
 bind-libs-lite                       x86_64                       32:9.9.4-50.el7_3.3                          updates                       730 k
 bind-license                         noarch                       32:9.9.4-50.el7_3.3                          updates                        84 k

Transaction Summary
====================================================================================================================================================
Upgrade  1 Package (+3 Dependent packages)

Total download size: 3.6 M
Is this ok [y/d/N]:y 

3. 复查

[root@BCLinux7_3 ~]# rpm -q bind
bind-9.9.4-50.el7_3.3.x86_64

4. 重启应用

安装升级包以后，重启应用，更新生效。

外部链接

1.BCLinux安全更新

BLSA-2018:0011 – [重要] kernel的安全警告及修复方法

问题描述

       最近 kernel 暴露出安全漏洞（CVE-2017-8824），攻击者可以利用这个漏洞，对系统安全产生影响。为了增加安全强度，建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

影响版本

• BigCloud Enterprise Linux 7.3
• Red Hat Enterprise Linux 7.3
• CentOS Linux 7.3

详细介绍

安全修复

• CVE-2017-8824 [重要]
  内核:DCCP插座的使用后会出现不安全的漏洞。

漏洞修复

• BZ#1530128
  此修复更新了内核代码，以避免无效的vzalloc调用，并且dmesg错误不再发生。
• BZ#1530134
  之前，如果NFSv4挂载时遇到了尚未完成初始化的NFS客户端结构，那么中继检测逻辑就会等待NFSv4挂载完成。因此，如果一个并发的NFSv4 挂载操作向NFS客户端结构的列表中添加了另一个项，那么NFS客户端就不能开始初始化，它在等待其他进程所持有的互斥锁，并且发生了死锁。此更新修复了NFS在将新结构添加到列表之前等待NFS客户端结构的初始化完成。这样死锁不再发生，NFS客户端现在可以按照所描述的情况进行初始化。
• BZ#1535880
  如果可扩展固件接口（EFI）创建了一组新的页表并在低位地址映射了段代码，那么操作系统（OS）就无法启动。这个更新修复了EFI代码，并且操作系统在以上的描述情况下可以按照预期的方式启动。
• BZ#1539648
  Retpoline 机制可以缓解分支目标注射，也就是所谓的幽灵变种2漏洞。 通过此次更新，Retpoline已经实施到BCLinux内核中。
• BZ#1540088
  此更新在/ proc / cpuinfo文件中添加了新的一行，以显示IBM z系统上stfle指令报告的所有可用工具。

解决方案

目前，BCLinux 的官方源已经提供 kernel 的更新软件包，受影响的 BCLinux 7.3 客户端用户需要升级到 3.10.0-514.44.1.1.el7 版本。

1. 检查YUM源设置，确保使用的是 BCLinux 官方YUM源

[root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
total 24
-rw-r--r--. 1 root root  970 Mar 29 04:26 BCLinux-Base.repo
-rw-r--r--. 1 root root 1512 Apr  9  2017 BCLinux-CR.repo
-rw-r--r--. 1 root root  676 Apr  9  2017 BCLinux-Debuginfo.repo
-rw-r--r--. 1 root root 1220 Apr  9  2017 BCLinux-Kernel.repo
-rw-r--r--. 1 root root 1027 Apr  9  2017 BCLinux-Source.repo
-rw-r--r--. 1 root root  807 Apr  9  2017 BigCloud.repo

2. 安装更新

[root@BCLinux7_3 ~]# yum update kernel
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Resolving Dependencies
--> Running transaction check
---> Package kernel.x86_64 0:3.10.0-514.44.1.1.el7 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

====================================================================================================================================================
 Package                        Arch                           Version                                        Repository                       Size
====================================================================================================================================================
Installing:
 kernel                         x86_64                         3.10.0-514.44.1.1.el7                          updates                          38 M

Transaction Summary
====================================================================================================================================================
Install  1 Package

Total download size: 38 M
Installed size: 150 M
Is this ok [y/d/N]: y

3. 复查

[root@BCLinux7_3 ~]# rpm -q kernel
kernel-3.10.0-514.el7.x86_64
kernel-3.10.0-514.44.1.1.el7.x86_64

4. 重启机器

安装升级包以后，重启机器，更新生效。

外部链接

1.BCLinux安全更新