1. 修復(fù)的CVE

·CVE-2019-11477

描述：在Linux內(nèi)核的網(wǎng)絡(luò)子系統(tǒng)處理TCP選擇性確認(rèn)（SACK）段的方式中發(fā)現(xiàn)了一個整數(shù)溢出缺陷。在處理SACK段時，Linux內(nèi)核的socket buffer（SKB）數(shù)據(jù)結(jié)構(gòu)變得支離破碎。每個片段約為TCP最大段大?。∕SS）字節(jié)。為了有效地處理SACK塊，Linux內(nèi)核將多個碎片skb合并到一個skb中，這可能會使保存段數(shù)的變量溢出。遠(yuǎn)程攻擊者可以利用此漏洞在TCP連接上發(fā)送SACK段序列（TCP MSS值很小），從而使Linux內(nèi)核崩潰，從而導(dǎo)致拒絕服務(wù)（DoS）。

·CVE-2021-27364

描述：在 Linux 內(nèi)核中發(fā)現(xiàn)了一個問題。 driver/scsi/scsi_transport_iscsi.c 受到非特權(quán)用戶制作 Netlink 消息的能力的不利影響。

·CVE-2021-27365

描述：在 Linux 內(nèi)核中發(fā)現(xiàn)了一個問題。某些 iSCSI 數(shù)據(jù)結(jié)構(gòu)沒有適當(dāng)?shù)拈L度限制或檢查，并且可能超過 PAGE_SIZE 值。非特權(quán)用戶可以發(fā)送與 iSCSI 關(guān)聯(lián)的 Netlink 消息，其長度可達(dá) Netlink 消息的最大長度。

·CVE-2021-3347

描述：通過 5.10.11 在 Linux 內(nèi)核中發(fā)現(xiàn)了一個問題。 PI futex 在故障處理期間有一個內(nèi)核堆棧釋放后使用，允許本地用戶在內(nèi)核中執(zhí)行代碼，又名 CID-34b1a1ce1458。

2. 受影響的軟件包

·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7

aarch64架構(gòu):

kernel、kernel-abi-whitelists、kernel-debug、kernel-debug-devel、kernel-devel、kernel-doc、kernel-headers、kernel-tools、kernel-tools-libs、kernel-tools-libs-devel、perf、python-perf

3. 軟件包修復(fù)版本

·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7

kernel-4.14.0-115.26.1.el7a.04

kernel-abi-whitelists-4.14.0-115.26.1.el7a.04

kernel-debug-4.14.0-115.26.1.el7a.04

kernel-debug-devel-4.14.0-115.26.1.el7a.04

kernel-devel-4.14.0-115.26.1.el7a.04

kernel-doc-4.14.0-115.26.1.el7a.04

kernel-headers-4.14.0-115.26.1.el7a.04

kernel-tools-4.14.0-115.26.1.el7a.04

kernel-tools-libs-4.14.0-115.26.1.el7a.04

kernel-tools-libs-devel-4.14.0-115.26.1.el7a.04

perf-4.14.0-115.26.1.el7a.04

python-perf-4.14.0-115.26.1.el7a.04

4. 修復(fù)方法

方法一：配置源進(jìn)行升級安裝

1. 打開軟件包源配置文件，根據(jù)倉庫地址進(jìn)行修改。

倉庫源地址：

中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7

aarch64:https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/

2. 配置完成后執(zhí)行更新命令進(jìn)行升級，命令如下：

yum update Packagename

方法二：下載安裝包進(jìn)行升級安裝

通過軟件包地址下載軟件包，使用軟件包升級命令根據(jù)受影響的軟件包列表進(jìn)行升級安裝,命令如下：

yum install Packagename

3. 升級完成后是否需要重啟服務(wù)或操作系統(tǒng)：

·CVE-2019-11477：需要重啟 kernel-alt、kernel 以使漏洞修復(fù)生效。

·CVE-2021-27364：需要重啟 kernel-alt、kernel 以使漏洞修復(fù)生效。

·CVE-2021-27365：需要重啟 kernel-alt、kernel 以使漏洞修復(fù)生效。

·CVE-2021-3347：需要重啟 kernel-alt、kernel 以使漏洞修復(fù)生效。

5. 軟件包下載地址

·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V7

kernel-alt（aarch64）軟件包下載地址:

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-abi-whitelists-4.14.0-115.26.1.el7a.04.noarch.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-debug-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-debug-devel-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-devel-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-doc-4.14.0-115.26.1.el7a.04.noarch.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-headers-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-tools-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-tools-libs-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/kernel-tools-libs-devel-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/perf-4.14.0-115.26.1.el7a.04.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/python-perf-4.14.0-115.26.1.el7a.04.aarch64.rpm

注：其他相關(guān)依賴包請到相同目錄下載

6. 修復(fù)驗證

使用軟件包查詢命令，查看相關(guān)軟件包版本是否與修復(fù)版本一致，如果版本一致，則說明修復(fù)成功。

sudo rpm -qa | grep Packagename