UCloud-201706-002:Linux内核漏洞”Phoenix Talon”安全预警 | U刻
  • UCloud-201706-002:Linux内核漏洞”Phoenix Talon”安全预警

    栏目:安全资讯

    尊敬的UCloud用户:

    启明星辰ADLab发现 Linux 内核潜伏11年的4个远程漏洞 “Phoenix Talon”,可导致远程 DOS,且在符合一定利用条件下可导致 RCE,包括传输层的 TCP、DCCP、SCTP 以及网络层的 IPv4 和 IPv6 协议均受影响。请合理安排业务并及时对您的主机内核进行升级。

    影响范围

    Linux kernel 2.5.69 ~Linux kernel 4.11

    修复方案
    内核升级完成后需要重启系统,升级之前,请做好数据备份;
    对于还未发出官方升级包的系统,请关注官网动态或者UCloud通知;
    【Centos】
    1、Centos官方内核版本:需要等待官方发布修复包后才可升级
    2、UCloud内核版本:
    1)Centos 6  2.6.32版本内核
    ●按照官方文档升级Kernel:
    ●重启设备:reboot
    ●uname -a 查看版本为以下版本:
    Centos 6.4/6.5 :2.6.32-431.11.32.el6.ucloud
    Centos 6.2/6.3 : 2.6.32-279.19.41.el6.ucloud
    2)Centos 6&7  4.1版本内核
    ● 修改/etc/yum.conf :
    把 exclude=kernel* centos-release* 改成 exclude=centos-release*
    ●在/etc/yum.repos.d/新建kernel.repo文件并加入以下内容,其中Centos6.*,$version=6;Centos7.*,$version=7:
    [kernel]
    name=kernel Repository
    baseurl=http://ucloud.mirror.ucloud.cn/centos/$version/$basearch
    gpgcheck=0
    enabled=1
    ● 刷新yum源 :
    yum clean all && yum makecache
    ● 查看是否有4.1内核最新版 :
    yum list | grep ucloud
    结果中存在以下版本:4.1.0-15.el7.ucloud或者4.1.0-15.el6.ucloud
    ● 安装4.1内核:

    yum install -y kernel-4.1.0 kernel-devel-4.1.0 kernel-headers-4.1.0 perf-4.1.0 python-perf-4.1.0

    ● 重启机器切换新内核
    ● uname -a 查看版本
    ● 修改/etc/yum.conf 改回 exclude=kernel* centos-release*
    【Ubuntu】
    sudo apt-get update;sudo apt-get install linux-image-$version
    Ubuntu 14.04:$version=3.13.0-121
    Ubuntu 16.04:$version=4.4.0-82

    Ubuntu 16.10:$version=4.8.0-56

    重启设备:reboot
     uname -a 查看版本为 以下版本,代表升级成功
    Ubuntu 14.04:3.13.0-121.170
    Ubuntu 16.04:4.4.0-82.105
    Ubuntu 16.10:4.8.0-56.61
    【Debian】
    apt-get update&&apt-get upgrade
    修复版本为:
    Debian 7:3.2.89-1

    Debian 8 :3.16.43-2+deb8u1

    漏洞详情
    CVE-2017-8890:Linux内核中的net/ipv4/inet_connection_sock.c中的inet_csk_clone_lock函数存在拒绝服务漏洞。远程攻击者可利用该漏洞通过接受系统调用造成拒绝服务。
    CVE-2017-9075:Linux kernel 4.11.1及之前的版本中的net/sctp/ipv6.c文件的‘sctp_v6_create_accept_sk’函数存在安全漏洞,该漏洞源于程序没有正确的处理继承。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务。
    CVE-2017-9076:Linux kernel 4.11.1及之前的版本中的net/dccp/ipv6.c文件的‘dccp_v6_request_recv_sock’函数存在安全漏洞,该漏洞源于程序没有正确的处理继承。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务。

    CVE-2017-9077:Linux kernel 4.11.1及之前的版本中的net/ipv6/tcp_ipv6.c文件的‘tcp_v6_syn_recv_sock’函数存在安全漏洞,该漏洞源于程序没有正确的处理继承。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务。

    参考链接