Scientific Linux 安全更新：SL5.x i386/x86_64 中的 kernel

high Nessus 插件 ID 65044

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

CVE-2009-2695 kernel：SELinux 和 mmap_min_addr

CVE-2009-3228 kernel：tc：未初始化的内核内存泄漏

CVE-2009-3286 kernel：NFSv4 上的 O_EXCL 被破坏

CVE-2009-2908 kernel：ecryptfs 空指针取消引用

CVE-2009-3613 kernel：ping 洪流在 mtu 大于 1500 时导致 iommu 不足错误

CVE-2009-3547 kernel：fs：pipe.c 空指针取消引用

安全补丁：

- 强制实施了 SELinux 的系统在允许 unconfined_t 域中的本地用户映射低内存区域方面更加宽容，即使启用了 mmap_min_addr 限制也是如此。这有助于本地利用空指针取消引用缺陷。（CVE-2009-2695，重要）

- 在 Linux 内核中的 eCryptfs 实现中发现一个空指针取消引用缺陷。本地攻击者可利用此缺陷导致本地拒绝服务或升级其权限。（CVE-2009-2908，重要）

- 在 NFSv4 实现中发现一个缺陷。内核在创建文件后执行不必要的权限检查。此检查通常会失败，并将文件的权限位设置为随机值。注意：此问题仅为服务器端问题。（CVE-2009-3286，重要）

- 在 Linux 内核的以下函数中发现空指针取消引用缺陷：pipe_read_open()、pipe_write_open()、和 pipe_rdwr_open()。没有保留互斥体锁定时，i_pipe 指针在被用于更新 pipe 的读写计数器之前，可由其他进程释放。这可导致本地拒绝服务或权限升级。（CVE-2009-3547，重要）

* 在 Linux 内核的 Realtek r8169 以太网驱动程序中发现一个缺陷。pci_unmap_single() 呈现了内存泄漏，可导致 IOMMU 空间耗尽和系统崩溃。本地网络上的攻击者可滥用此缺陷，即对大量网络流量使用巨型帧。（CVE-2009-3613，重要）

- 在 Linux 内核中发现若干缺少初始化缺陷。多个核心网络结构中的填充数据在发送到用户空间之前未正确地进行初始化。这些缺陷可导致信息泄漏。
（CVE-2009-3228，中危）

缺陷补丁：

- 在“balance-tlb”或“balance-alb”模式下进行网络绑定后，主要从设备的主要设置在相关设备失败时将会丢失。
恢复从设备不会恢复主要设置。(BZ#517971)

- 某些错误串行设备硬件导致运行 kernel-xen 内核的系统需要很长时间来引导。(BZ#524153)

- nfs_readdir() 中的缓存缺陷可能导致 NFS 客户端在目录中看到重复的文件或不能看到所有文件。(BZ#526960)

- RHSA-2009:1243 更新删除了 mpt_msi_enable 选项，使某些脚本无法运行。此更新加回了该选项。(BZ#526963)

- 使用最近模块且点击计数值大于 ip_pkt_list_tot 参数（默认值为 20）的 iptables 规则，对数据包没有任何影响，因为无法达到该点击计数。(BZ#527434)

- 已对 IPv4 代码添加了检查，确保 rt 不是 NULL，有助于防止调用 ip_append_data() 的函数中未来出现可利用的缺陷。(BZ#527436)

- 在重新配置磁带驱动器的区块大小后，某些情况下会发生内核错误。(BZ#528133)

- 在主配置和备份配置中使用 Linux Virtual Server (LVS)，并且将主配置上的活动连接传播到备份配置时，备份配置上的连接超时值硬编码为 180 秒，这意味着备份配置上的连接信息很快就会丢失。这可阻止连接成功进行故障转移。该超时值现在可通过“ipvsadm --set”设置。(BZ#528645)

- nfs4_do_open_expired() 中的缺陷可能导致 NFSv4 客户端上的回收程序线程进入无限循环。(BZ#529162)

- 对启用了 MSI 中断的基于 r8169 的网卡，可能不提供 MSI 中断。
此缺陷仅影响某些系统。(BZ#529366)

必须重新启动系统才能使此更新生效。

注释 1：由于 fuse 内核模块现已成为内核的一部分，我们正在更新较低版本的 fuse，以便与上游供应商所发布的 fuse 相匹配。

注释 2：SL 50-53 的 kernel-module-openafs 是 openafs 1.4.7，SL 54 的是 openafs 1.4.11

注释 3：xfs 现在是 x86_64 中的内核的一部分。因此，x86_64 没有 kernel-module-xfs。

注释 4：SL 54 中的 ipw3945 支持已更改为 iwlwifi3945，并在内核中。因此，SL54 没有 kernel-module-ipw3945。

注释 5：对 Atheros 芯片组的支持现在位于内核中。我们不确定 SL 50-53 的基础架构是否已就位，因此我们仍向 SL 50-53 提供 madwifi 内核模块。