Scientific Linux 安全性更新：SL5.x i386/x86_64 上的核心

high Nessus Plugin ID 65044

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

CVE-2009-2695 核心：SELinux 和 mmap_min_addr

CVE-2009-3228 kernel：tc：未初始化的核心記憶體洩漏

CVE-2009-3286 核心：NFSv4 上的 O_EXCL 建立作業損毀

CVE-2009-2908 核心 ecryptfs NULL 指標解除參照

CVE-2009-3613 核心：mtu 大於 1500 時，溢流 Ping 造成 iommu 不足錯誤及不穩定

CVE-2009-3547 kernel: fs: pipe.c NULL 指標解除參照

安全性修正：

- 強制執行 SELinux 的系統，在允許 unconfined_t 網域之本機使用者對應記憶體不足的區域時，即使已啟用 mmap_min_addr 限制，仍會採取較寬鬆的方式。這有助於本機惡意利用 NULL 指標解除參照錯誤。(CVE-2009-2695，重要)

- 在 Linux 核心的 eCryptfs 實作中，發現一個 NULL 指標解除參照瑕疵。本機攻擊者可利用此瑕疵造成拒絕服務或提升其權限。(CVE-2009-2908，重要)

- 在 NFSv4 實作中發現一個瑕疵。核心將會在建立檔案之後，進行不必要的權限檢查。此檢查通常會失敗，並留下權限位元設為隨機值的檔案。注意：
這是只有伺服器端才會有的問題。(CVE-2009-3286，重要)

- 在以下各個 Linux 核心的函式中，發現 NULL 指標解除參照瑕疵：
pipe_read_open()、pipe_write_open() 和 pipe_rdwr_open()。Mutex 未保持鎖定時，在 i_pipe 指標用來更新管道的讀取器和寫入器計數器之前，其他處理程序可將其釋放。這可造成本機拒絕服務或權限提升。(CVE-2009-3547，重要)

- 在 Linux 核心的 Realtek r8169 Ethernet 驅動程式中發現一個瑕疵。pci_unmap_single() 會呈現可導致 IOMMU 空間耗盡及系統當機的記憶體洩漏。區域網路上的攻擊者可針對大量網路流量使用大型框架來濫用此瑕疵。(CVE-2009-3613，重要)

- 在 Linux 核心中發現多個缺少初始化瑕疵。數個核心網路結構中的填補資料在傳送至使用者空間之前，無法正確初始化。這些瑕疵可導致資訊洩漏。
(CVE-2009-3228，中等)

錯誤修正：

- 如果網路連結處於‘balance-tlb’或‘balance-alb’模式，當主要從屬裝置關閉時，會失去該裝置的主要設定。
將從屬裝置恢復運作必不會還原主要設定。(BZ#517971)

- 部分故障的序列裝置硬體會使執行 kernel-xen 核心的系統花很長的時間開機。(BZ#524153)

- nfs_readdir() 中的快取錯誤可能會使 NFS 用戶端看到重複的檔案，或只能看到目錄中的部分檔案。(BZ#526960)

- RHSA-2009:1243 更新會移除 mpt_msi_enable 選項，以防止某些指令碼執行。此更新會將添加回該選項。(BZ#526963)

- 如果 iptables 規則包含最近的模組以及大於 ip_pkt_list_tot 參數的叫用計數值 (預設為 20)，則因為無法達到叫用計數，而不會對封包有任何影響。(BZ#527434)

- 已在 IPv4 程式碼中加入了一個檢查，以確認 rt 不是空值 (NULL)，其目的是防止未來在呼叫 ip_append_data() 的函式中出現的錯誤遭到惡意利用。(BZ#527436)

- 在某些情況下，重新設定磁帶機的區塊大小之後，會發生核心錯誤。(BZ#528133)

- 在主要和備份組態中使用 Linux 虛擬伺服器 (LVS)，並將主要組態上的使用中連線傳播至備份組態時，會將備份組態上的連線逾時值硬式編碼為 180 秒，這表示很快就會失去備份組態上的連線資訊。這可防止成功容錯移轉連線。現在可以透過‘ipvsadm --set’設定逾時值。(BZ#528645)

- nfs4_do_open_expired() 中的錯誤可使 NFSv4 用戶端上的回收程式執行緒進入無限迴圈。(BZ#529162)

- 已啟用 MSI 中斷的 r8169 型網路卡可能還未提供 MSI 中斷。
此錯誤僅影響某些系統。(BZ#529366)

必須重新啟動系統，此更新才會生效。

注意 1：由於 fuse 核心模組現在屬於核心的一部分，我們正對較舊版本更新 fuse，以符合上游供應商所發佈的 fuse。

注意 2：適用於 SL 50-53 的 kernel-module-openafs 專門針對 openafs 1.4.7，而適用於 SL 54 的 kernel-module-openafs 則是針對 openafs 1.4.11

Note3: xfs 現已屬於 x86_64 核心的一部分。因此沒有適用於 x86_64 的 kernel-module-xfs。

注意 4：ipw3945 支援已變更為 SL 54 中的 iwlwifi3945，且其在核心中。因此沒有適用於 SL54 的 kernel-module-ipw3945。

注意 5：核心現在支援 Atheros 晶片組。我們不確定 SL 50-53 中是否有基礎結構，因此我們仍然為 SL 50-53 提供 madwifi 核心模組。