Блог по CloudLinux OS - обновлено ядро ​​CloudLinux 6
Блог CloudLinux OS

Обновлено ядро ​​CloudLinux 6

Обновлено ядро ​​CloudLinux 6

Ядро версии 2.6.32-954.3.5.lve1.4.58 для CloudLinux 6 доступно для загрузки из нашего production-репозитория.

Список уязвимостей (CVE):

  • CVE-2018-3620, CVE-2018-3646: современные операционные системы реализуют виртуализацию физической памяти для эффективного использования доступных системных ресурсов и обеспечения междоменной защиты посредством контроля доступа и изоляции. Уязвимость L1TF была обнаружена в том, как микропроцессоры x86 реализовали упреждающее (спекулятивное) выполнение инструкций (широко используемая оптимизация производительности) в сочетании с обработкой ошибок страниц, вызванных завершением процесса преобразования из виртуальных в физические адреса. В результате непривилегированный злоумышленник может использовать эту уязвимость для чтения привилегированной памяти ядра или других процессов и/или изменения учетной записи гостя/хоста для чтения памяти хоста путем проведения целевых атак кеша по сторонним канала.
  • CVE-2018-3693: Широко распространенная проблема была обнаружена в том, как во многих современных микропроцессорах внедрено спекулятивное выполнение граничных проверок. Уязвимость обусловлена наличием точно определенной последовательности команд в привилегированном коде и тем фактом, что запись в память происходит в адрес, который зависит от ненадежного значения. Такие записи приводят к обновлению данных в кэше микропроцессора даже для спекулятивно исполняемых инструкций, которые никогда не коммитятся (удаляются). В результате непривилегированный злоумышленник может использовать эту уязвимость, чтобы влиять на спекулятивное выполнение и/или читать привилегированную память, проводя целевые атаки на кеш по сторонним каналам.
  • CVE-2018-5390: уязвимость SegmentSmack была обнаружена в том, как ядро ​​Linux обрабатывало специально созданные TCP-пакеты. Удаленный злоумышленник может использовать эту уязвимость для запуска времени и вычисления дорогостоящих вызовов функций tcp_collapse_ofo_queue () и tcp_prune_ofo_queue () путем отправки специально измененных пакетов в течение текущих TCP-сеансов, что может привести к перегрузке CPU и, следовательно, к отказу от обслуживания системы. Поддержание DoS требует непрерывных двухсторонних TCP-сеансов с открытым доступным портом, поэтому атаки не могут выполняться с использованием поддельных IP-адресов.
  • CVE-2018-3639: атака ядра по сторонним каналам с использованием спекулятивного обхода хранилища. Широко распространенная в отрасли проблема была обнаружена в том, как многие современные архитектуры микропроцессоров реализовали спекулятивное выполнение инструкций Load & Store (обычно используемая оптимизация производительности). Такое выполнение основывается на наличии точно определенной последовательности команд в привилегированном коде, а также на том факте, что память, прочитанная с адреса, в котором недавно произошла запись в памяти, может видеть более старое значение и впоследствии вызывать обновление в кэше данных микропроцессора даже для спекулятивно выполненных инструкций, которые на самом деле никогда не совершаются (удаляются). В результате, непривилегированный злоумышленник может использовать этот недостаток для чтения привилегированной памяти, проводя атаки на кеш по сторонним каналам.
  • CVE-2018-10901: уязвимость была обнаружена в подсистеме виртуализации KVM ядра Linux. Код VMX не восстанавливает GDT.LIMIT до предыдущего значения хоста, а вместо этого устанавливает его в 64KB. С поврежденным пределом GDT код пользовательского пространства хоста имеет возможность помещать вредоносные записи в GDT, особенно в переменные per-cpu. Злоумышленник может использовать это для повышения своих привилегий.
  • CVE-2017-0861: уязвимость использования освобожденной памяти в функции snd_pcm_info () в подсистеме ALSA в ядре Linux позволяет злоумышленникам вызвать повреждение памяти ядра и, возможно, сбой или блокировку системы. Из-за характера уязвимости нельзя исключить эскалацию привилегий, хотя это считается маловероятным.
  • CVE-2018-7566: Ядро секвенсора ALSA инициализирует пул событий по запросу, вызывая snd_seq_pool_init (), когда происходит первая запись, а пул пуст. Пользователь может вручную сбросить размер пула через ioctl, и это может привести к доступу UAF или вне границ.
  • CVE-2018-1000004: В ядре Linux версий 4.12, 3.10, 2.6 и, возможно, более ранних в звуковой системе существует уязвимость состояния гонки, которая позволяет использовать потенциальную взаимоблокировку и повреждение памяти из-за использования освобожденной памяти и, таким образом, привести к отказу в обслуживании. Из-за характера уязвимости, эскалация привилегий не может быть полностью исключена, хотя это считается маловероятным.

Исправленные ошибки:

  • CKSIX-198: исправлено перемонтирование ​​файловой системы ext4 только для чтения с примененным лимитом Memory;
  • CKSIX-190: отключен режим «atomic file position» из-за возможного зависания блокировки при использовании лимитов IO;
  • CKSIX-189: FS: исправлен подсчет ссылок в пользовательских квотах;
  • CKSIX-202: исправлена ​​гостевая загрузка Xen PV.

Чтобы обновить ядро, выполните команду:

yum install kernel-2.6.32-954.3.5.lve1.4.58.el6
Бета: гибридное ядро ​​CloudLinux 7 и CloudLinux 6 ...
Проблемы, вызванные последней бета-версией Imunify360 3.7.3 ...

Комментарии 4

Гость - Моррис в понедельник, 22, октябрь, 2018, 14: 09.

Все ли эти CVE включены в патчи ядра?

Все ли эти CVE включены в патчи ядра?
Инесса Атмачьян в понедельник, 22, октябрь, 2018, 14: 25.

Привет, Моррис,

Да, все перечисленные CVE включены.

Привет, Моррис. Да, все перечисленные CVE включены.

Так будет ли нормально загружать это ядро ​​на гостевом компьютере Xen PV? Должны ли мы по-прежнему избегать патчей KernelCare на PV-хостах?

Так будет ли нормально загружать это ядро ​​на гостевом компьютере Xen PV? Должны ли мы по-прежнему избегать патчей KernelCare на PV-хостах?

Да, это ядро ​​должно успешно загрузиться на гостей Xen PV. Используйте исправления KernelCare только из корма для производства, чтобы избежать возможных проблем.

Да, это ядро ​​должно успешно загрузиться на гостей Xen PV. Используйте исправления KernelCare только из корма для производства, чтобы избежать возможных проблем.
Уже зарегистрирован? ВОЙТИ
гость
Понедельник, 21 октября 2019

Защитный код изображение