RHEL 7:核心 (RHSA-2016:0185)
high Nessus Plugin ID 88786
語系:
Synopsis
遠端 Red Hat 主機缺少一個或多個安全性更新。描述
現已提供適用於 Red Hat Enterprise Linux 7 的更新版 kernel 套件,可修正兩個安全性問題和數個錯誤。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。
kernel 套件中包含 Linux 核心,這是任何 Linux 作業系統的核心。
* 據發現,Linux 核心的金鑰子系統並未正確回收未具現化 keyring 的記憶體。本機攻擊者可利用此瑕疵使系統當機,或可能提升其在系統上的權限。(CVE-2015-7872,重要)
* 在處理 NMI 期間 Linux 核心處理 IRET 錯誤的方式中發現一個瑕疵。無權限的本機使用者可能會利用此瑕疵造成系統當機,或可能 (儘管可能性極低) 提升自己在系統上的權限。(CVE-2015-5157,中等)
此更新也可修正下列錯誤:
* 之前處理包含大量不同 IPv6 來源位址的封包時,會造成核心傳回和軟鎖定有關的警告,這是因為高鎖定爭用和延遲增加所導致。透過此更新,可透過退出鎖定上的並行等待執行緒來減少鎖定爭用。因此,在上述狀況中,核心不會再發出警告。(BZ#1285370)
* 在此更新之前,區塊裝置 readahead 會受到人為限制。導致讀取效能不佳,特別是 RAID 裝置的讀取效能。現在可對每台裝置採用按裝置 readahead 限制,不再使用全域限制。因此可改善讀取效能,特別是 RAID 裝置的讀取效能。(BZ#1287550)
* 主機先前在插入 EEH 錯誤之後不會復原,也未發現 HTX 工具記錄中有 I/O 懸置情況。此更新可確保 EEH_STATE_MMIO_ACTIVE 和 EEH_STATE_MMIO_ENABLED 其中一個或兩個旗標在 PE 狀態中進行標記,且 PE 的 IO 路徑也視為已啟用。因此,主機不會再如預期懸置和復原。(BZ#1289101)
* genwqe 裝置驅動程式先前會使用 GFP_ATOMIC 旗標,從核心的不可部分完成記憶體集區配置連續記憶體頁面,即使是在非原子情況亦然。此可導致系統在記憶體壓力下配置失敗。透過此更新,genwqe 驅動程式的記憶體配置將使用 GFP_KERNEL 旗標,且驅動程式即使在記憶體壓力情況下也可配置記憶體。
(BZ#1289450)
* 由於解壓縮發生資料損毀錯誤,導致 IBM Power Systems 的 nx842 副處理器在某些情況下可能會提供無效資料。透過此更新,nx842 副處理器的所有壓縮和解壓縮呼叫都會包含循環冗餘檢查 (CRC) 旗標,其強制所有壓縮和解壓縮作業均檢查資料完整性,避免副處理器提供損毀的資料。(BZ#1289451)
* 對 IBM Power Systems 由小到大的變體進行的「updatepp」作業失敗,先前可造成頁面表格中下一個雜湊插入作業使用錯誤的雜湊值。此可導致遺漏雜湊 pte 更新或作業無效,進而可能造成記憶體損毀。透過此更新,在發生失敗的「updatepp」作業之後,系統將一律重新計算雜湊值,以避免記憶體損毀。(BZ#1289452)
* 大型接收卸載 (LRO) 旗標的停用效果不會從 vlan 和連結階層的上述裝置向下傳播,進而中斷流量動向。此問題已修正,LRO 旗標現可正確傳播。(BZ#1292072)
* 由於 intel_pstate 驅動程式的 CPU 頻率有進位錯誤,因此 CPU 頻率永遠無法達到使用者要求的值。現已套用核心修補程式,可修正這些進位錯誤。
(BZ#1296276)
* 之前執行數個容器 (最多 100 個) 時,系統會報告懸置工作報告。此更新修正了 dm_destroy() 函式中的 AB-BA 鎖死,不會再出現懸置報告。
(BZ#1296566)
建議所有核心使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。必須重新啟動系統,此更新才會生效。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/errata/RHSA-2016:0185
Plugin 詳細資訊
嚴重性: High
ID: 88786
檔案名稱: redhat-RHSA-2016-0185.nasl
版本: 2.14
類型: local
代理程式: unix
已發布: 2016/2/17
已更新: 2019/10/24
支持的傳感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.2
時間分數: 5.3
媒介: AV:L/AC:L/Au:N/C:C/I:C/A:C
時間媒介: E:U/RL:OF/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:kernel, p-cpe:/a:redhat:enterprise_linux:kernel-abi-whitelists, p-cpe:/a:redhat:enterprise_linux:kernel-debug, p-cpe:/a:redhat:enterprise_linux:kernel-debug-debuginfo, p-cpe:/a:redhat:enterprise_linux:kernel-debug-devel, p-cpe:/a:redhat:enterprise_linux:kernel-debuginfo, p-cpe:/a:redhat:enterprise_linux:kernel-debuginfo-common-s390x, p-cpe:/a:redhat:enterprise_linux:kernel-debuginfo-common-x86_64, p-cpe:/a:redhat:enterprise_linux:kernel-devel, p-cpe:/a:redhat:enterprise_linux:kernel-doc, p-cpe:/a:redhat:enterprise_linux:kernel-headers, p-cpe:/a:redhat:enterprise_linux:kernel-kdump, p-cpe:/a:redhat:enterprise_linux:kernel-kdump-debuginfo, p-cpe:/a:redhat:enterprise_linux:kernel-kdump-devel, p-cpe:/a:redhat:enterprise_linux:kernel-tools, p-cpe:/a:redhat:enterprise_linux:kernel-tools-debuginfo, p-cpe:/a:redhat:enterprise_linux:kernel-tools-libs, p-cpe:/a:redhat:enterprise_linux:kernel-tools-libs-devel, p-cpe:/a:redhat:enterprise_linux:perf, p-cpe:/a:redhat:enterprise_linux:perf-debuginfo, p-cpe:/a:redhat:enterprise_linux:python-perf, p-cpe:/a:redhat:enterprise_linux:python-perf-debuginfo, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.2, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/2/16
弱點發布日期: 2015/8/31
參考資訊
CVE: CVE-2015-5157, CVE-2015-7872
RHSA: 2016:0185