偵測

Scientific Linux 安全性更新:SL7.x x86_64 上的核心。

high Nessus Plugin ID 88799

語系:

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

- 據發現,Linux 核心的金鑰子系統並未正確回收未具現化 keyring 的記憶體。本機攻擊者可利用此瑕疵使系統當機,或可能提升其在系統上的權限。(CVE-2015-7872,重要)

- 在處理 NMI 期間 Linux 核心處理 IRET 錯誤的方式中發現一個瑕疵。無權限的本機使用者可能會利用此瑕疵造成系統當機,或可能 (儘管可能性極低) 提升自己在系統上的權限。(CVE-2015-5157,中等)

此更新也可修正下列錯誤:

- 之前處理包含大量不同 IPv6 來源位址的封包時,會造成核心傳回和軟鎖定有關的警告,這是因為高鎖定爭用和延遲增加所導致。透過此更新,可透過退出鎖定上的並行等待執行緒來減少鎖定爭用。因此,在上述狀況中,核心不會再發出警告。

- 在此更新之前,區塊裝置 readahead 會受到人為限制。導致讀取效能不佳,特別是 RAID 裝置的讀取效能。現在可對每台裝置採用按裝置 readahead 限制,不再使用全域限制。因此可改善讀取效能,特別是 RAID 裝置的讀取效能。

- 主機先前在插入 EEH 錯誤之後不會復原,也未發現 HTX 工具記錄中有 I/O 懸置情況。
 此更新可確保 EEH_STATE_MMIO_ACTIVE 和 EEH_STATE_MMIO_ENABLED 其中一個或兩個旗標在 PE 狀態中進行標記,且 PE 的 IO 路徑也視為已啟用。因此,主機不會再如預期懸置和復原。

- genwqe 裝置驅動程式先前會使用 GFP_ATOMIC 旗標,從核心的不可部分完成記憶體集區配置連續記憶體頁面,即使是在非原子情況亦然。此可導致系統在記憶體壓力下配置失敗。透過此更新,genwqe 驅動程式的記憶體配置將使用 GFP_KERNEL 旗標,且驅動程式即使在記憶體壓力情況下也可配置記憶體。

- 由於解壓縮發生資料損毀錯誤,導致 IBM Power Systems 的 nx842 副處理器在某些情況下可能會提供無效資料。透過此更新,nx842 副處理器的所有壓縮和解壓縮呼叫都會包含循環冗餘檢查 (CRC) 旗標,其強制所有壓縮和解壓縮作業均檢查資料完整性,避免副處理器提供損毀的資料。

- 對 IBM Power Systems 由小到大的變體進行的「updatepp」作業失敗,先前可造成頁面表格中下一個雜湊插入作業使用錯誤的雜湊值。此可導致遺漏雜湊 pte 更新或作業無效,進而可能造成記憶體損毀。透過此更新,在發生失敗的「updatepp」作業之後,系統將一律重新計算雜湊值,以避免記憶體損毀。

- 大型接收卸載 (LRO) 旗標的停用效果不會從 vlan 和連結階層的上述裝置向下傳播,進而中斷流量動向。此問題已修正,LRO 旗標現可正確傳播。

- 由於 intel_pstate 驅動程式的 CPU 頻率有進位錯誤,因此 CPU 頻率永遠無法達到使用者要求的值。現已套用核心修補程式,可修正這些進位錯誤。

- 之前執行數個容器 (最多 100 個) 時,系統會報告懸置工作報告。此更新修正了 dm_destroy() 函式中的 AB-BA 鎖死,不會再出現懸置報告。

必須重新啟動系統,此更新才會生效。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?aec769f0

Plugin 詳細資訊

嚴重性: High

ID: 88799

檔案名稱: sl_20160216_kernel_on_SL7_x.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2016/2/17

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.2

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:fermilab:scientific_linux:kernel, p-cpe:/a:fermilab:scientific_linux:kernel-abi-whitelists, p-cpe:/a:fermilab:scientific_linux:kernel-debug, p-cpe:/a:fermilab:scientific_linux:kernel-debug-debuginfo, p-cpe:/a:fermilab:scientific_linux:kernel-debug-devel, p-cpe:/a:fermilab:scientific_linux:kernel-debuginfo, p-cpe:/a:fermilab:scientific_linux:kernel-debuginfo-common-x86_64, p-cpe:/a:fermilab:scientific_linux:kernel-devel, p-cpe:/a:fermilab:scientific_linux:kernel-doc, p-cpe:/a:fermilab:scientific_linux:kernel-headers, p-cpe:/a:fermilab:scientific_linux:kernel-tools, p-cpe:/a:fermilab:scientific_linux:kernel-tools-debuginfo, p-cpe:/a:fermilab:scientific_linux:kernel-tools-libs, p-cpe:/a:fermilab:scientific_linux:kernel-tools-libs-devel, p-cpe:/a:fermilab:scientific_linux:perf, p-cpe:/a:fermilab:scientific_linux:perf-debuginfo, p-cpe:/a:fermilab:scientific_linux:python-perf, p-cpe:/a:fermilab:scientific_linux:python-perf-debuginfo, x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2016/2/16

弱點發布日期: 2015/8/31

參考資訊

CVE: CVE-2015-5157, CVE-2015-7872