Scientific Linux 安全性更新:SL7.x x86_64 上的核心。

high Nessus Plugin ID 88799
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

描述

- 據發現,Linux 核心的金鑰子系統並未正確回收未具現化 keyring 的記憶體。本機攻擊者可利用此瑕疵使系統當機,或可能提升其在系統上的權限。(CVE-2015-7872,重要)

- 在處理 NMI 期間 Linux 核心處理 IRET 錯誤的方式中發現一個瑕疵。無權限的本機使用者可能會利用此瑕疵造成系統當機,或可能 (儘管可能性極低) 提升自己在系統上的權限。(CVE-2015-5157,中等)

此更新也可修正下列錯誤:

- 之前處理包含大量不同 IPv6 來源位址的封包時,會造成核心傳回和軟鎖定有關的警告,這是因為高鎖定爭用和延遲增加所導致。透過此更新,可透過退出鎖定上的並行等待執行緒來減少鎖定爭用。因此,在上述狀況中,核心不會再發出警告。

- 在此更新之前,區塊裝置 readahead 會受到人為限制。導致讀取效能不佳,特別是 RAID 裝置的讀取效能。現在可對每台裝置採用按裝置 readahead 限制,不再使用全域限制。因此可改善讀取效能,特別是 RAID 裝置的讀取效能。

- 主機先前在插入 EEH 錯誤之後不會復原,也未發現 HTX 工具記錄中有 I/O 懸置情況。
此更新可確保 EEH_STATE_MMIO_ACTIVE 和 EEH_STATE_MMIO_ENABLED 其中一個或兩個旗標在 PE 狀態中進行標記,且 PE 的 IO 路徑也視為已啟用。因此,主機不會再如預期懸置和復原。

- genwqe 裝置驅動程式先前會使用 GFP_ATOMIC 旗標,從核心的不可部分完成記憶體集區配置連續記憶體頁面,即使是在非原子情況亦然。此可導致系統在記憶體壓力下配置失敗。透過此更新,genwqe 驅動程式的記憶體配置將使用 GFP_KERNEL 旗標,且驅動程式即使在記憶體壓力情況下也可配置記憶體。

- 由於解壓縮發生資料損毀錯誤,導致 IBM Power Systems 的 nx842 副處理器在某些情況下可能會提供無效資料。透過此更新,nx842 副處理器的所有壓縮和解壓縮呼叫都會包含循環冗餘檢查 (CRC) 旗標,其強制所有壓縮和解壓縮作業均檢查資料完整性,避免副處理器提供損毀的資料。

- 對 IBM Power Systems 由小到大的變體進行的「updatepp」作業失敗,先前可造成頁面表格中下一個雜湊插入作業使用錯誤的雜湊值。此可導致遺漏雜湊 pte 更新或作業無效,進而可能造成記憶體損毀。透過此更新,在發生失敗的「updatepp」作業之後,系統將一律重新計算雜湊值,以避免記憶體損毀。

- 大型接收卸載 (LRO) 旗標的停用效果不會從 vlan 和連結階層的上述裝置向下傳播,進而中斷流量動向。此問題已修正,LRO 旗標現可正確傳播。

- 由於 intel_pstate 驅動程式的 CPU 頻率有進位錯誤,因此 CPU 頻率永遠無法達到使用者要求的值。現已套用核心修補程式,可修正這些進位錯誤。

- 之前執行數個容器 (最多 100 個) 時,系統會報告懸置工作報告。此更新修正了 dm_destroy() 函式中的 AB-BA 鎖死,不會再出現懸置報告。

必須重新啟動系統,此更新才會生效。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?aec769f0

Plugin 詳細資訊

嚴重性: High

ID: 88799

檔案名稱: sl_20160216_kernel_on_SL7_x.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2016/2/17

已更新: 2021/1/14

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.2

媒介: AV:L/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:fermilab:scientific_linux:kernel, p-cpe:/a:fermilab:scientific_linux:kernel-abi-whitelists, p-cpe:/a:fermilab:scientific_linux:kernel-debug, p-cpe:/a:fermilab:scientific_linux:kernel-debug-debuginfo, p-cpe:/a:fermilab:scientific_linux:kernel-debug-devel, p-cpe:/a:fermilab:scientific_linux:kernel-debuginfo, p-cpe:/a:fermilab:scientific_linux:kernel-debuginfo-common-x86_64, p-cpe:/a:fermilab:scientific_linux:kernel-devel, p-cpe:/a:fermilab:scientific_linux:kernel-doc, p-cpe:/a:fermilab:scientific_linux:kernel-headers, p-cpe:/a:fermilab:scientific_linux:kernel-tools, p-cpe:/a:fermilab:scientific_linux:kernel-tools-debuginfo, p-cpe:/a:fermilab:scientific_linux:kernel-tools-libs, p-cpe:/a:fermilab:scientific_linux:kernel-tools-libs-devel, p-cpe:/a:fermilab:scientific_linux:perf, p-cpe:/a:fermilab:scientific_linux:perf-debuginfo, p-cpe:/a:fermilab:scientific_linux:python-perf, p-cpe:/a:fermilab:scientific_linux:python-perf-debuginfo, x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2016/2/16

弱點發布日期: 2015/8/31

參考資訊

CVE: CVE-2015-5157, CVE-2015-7872