Article ID: 6305, created on Jun 5, 2009, last review on Apr 25, 2014

  • Applies to:
  • Virtuozzo containers for Linux 4.0

Lösung

----------------------------------------------------------------------------

Übersicht:       Neuer Parallels Virtuozzo Containers 4.0-Kernel bietet eine Reihe
                 wichtiger Stabilitätsverbesserungen und Sicherheitsupdates.

Freigabedatum:   05.05.2009

Produkt:         Parallels Virtuozzo Containers 4.0

Schlüsselwörter: 'Stabilitätsverbesserungen' 'Sicherheitsupdates'


----------------------------------------------------------------------------


Dieses Dokument enthält Informationen zum neuen Virtuozzo Containers 4.0-Kernel,
Version 2.6.18-028stab062.3.

 

1999-2009 Parallels Holdings, Ltd. und Tochtergesellschaften. Alle Rechte
vorbehalten.

----------------------------------------------------------------------------

INHALTVERZEICHNIS

1. Info zu diesem Release
2. Beschreibung der Updates
3. Behobene Fehler
4. Bezug des neuen Kernels
5. Installation des neuen Kernels
6. Erforderliche RPMs
7. Referenzliste


--------------------------------------------------------------------------------


1. INFO ZU DIESEM RELEASE


Das aktuelle Update für den Virtuozzo Containers 4.0-Kernel stellt einen neuen
Kernel basierend auf dem Red Hat 5-Kernel (2.6.18-128.1.1.el5) bereit. Der
aktualisierte Kernel enthält eine Reihe wichtiger Sicherheitsupdates und
Stabilitätsverbesserungen.


--------------------------------------------------------------------------------


2. BESCHREIBUNG DER UPDATES

Der aktualisierte Virtuozzo Containers 4.0-Kernel enthält Fehlerbehebungen für
die folgenden Sicherheitsanfälligkeiten (einschließlich der in den Red Hat-Kernels
2.6.18-128.el5 und 2.6.18-128.1.1.el5 behobenen Anfälligkeiten):

- Bei der Verarbeitung von starkem Netzverkehr auf einem SMP-System mit vielen
Kernen kann eine Schwachstelle auftreten. Ein Angreifer könnte eine Denial-of-
Service-Attacke starten, indem er ein hohes Netzverkehr-Volumen sendet.

  (CVE-2008-5713, Wichtig)

- Bei der keyctl-Behandlung könnte ein Speicherleck auftreten. Ein lokaler Benutzer
könnte diese Schwachstelle ausnutzen, um den Kernelspeicher zu erschöpfen, was
schließlich zu einem Denial-of-Service führt.

  (CVE-2009-0031, Wichtig)

- Wenn fput() aufgerufen wurde, um einen Socket zu schließen, könnte die Funktion
__scm_destroy() im Linux-Kernel indirekte rekursive Aufrufe an sich selbst richten.
Dies könnte zu einem Denial-of-Service-Problem führen.

  (CVE-2008-5029, Wichtig)
- In der Watch Removal/Unmount-Implementierung von "inotify" im Linux-Kernel kann
es zu einer Race-Bedingung kommen. Dies könnte dazu führen, dass ein lokaler, nicht

berechtigter Benutzer seine Zugriffsrechte erweitert oder ein Denial-of-Service-
Problem auslöst.
(CVE-2008-5182, Wichtig)

- Im ATM-Subsystem (Asynchronous Transfer Mode) wurde eine Schwachstelle gefunden.

Ein lokaler, nicht berechtigter Benutzer könnte die Schwachstelle ausnutzen, um
denselben Socket mehr als einmal abzuhören, was zu einem Denial-of-Service führen
kann.
(CVE-2008-5079, Wichtig)
- Lokale Benutzer könnten über eine große Anzahl von sendmsg-Funktionsaufrufen eine
Denial-of-Service-Bedingung ("Soft Lockup") und Prozessverlust verursachen, da diese

Aufrufe während der AF_UNIX Garbage Collection nicht geblockt werden, wodurch eine
OOM-Bedingung ausgelöst wird.

(CVE-2008-5300, Wichtig)

Der aktualisierte Parallels Virtuozzo Containers 4.0-Kernel enthält Fehlerbehebungen
für die folgenden Probleme:

- Eine Applikation, die einen Futex verwendet, kann hängen bleiben, wenn sie auf
einem Hardware-Node mit dem 32-Bit Enterprise-Kernel gestartet wird.

- Einige NFS-Hardwareserver können Inode-Nummern in einem 32-Bit-Bereich erzeugen.
In diesem Fall kann das Mounten eines Container-Privatbereichs, der sich auf NFS
befindet, fehlschlagen. Dieses Problem wurde für 64-Bit-Kernel behoben. Auf Hardware-
Nodes mit 32-Bit-Kerneln müssen sich die Template- und Privatbereiche des Containers
auf demselben Superblock befinden.

- Die Migration eines Containers von einem Hardware-Node mit deaktiviertem SLM-Modus
auf einen Node mit aktiviertem SLM-Modus kann fehlschlagen.
- Das Checkpointing eines Containers kann fehlschlagen, wenn ein bestimmter Prozess
/proc/ öffnet und danach beendet wird.

- Wenn der Migrationsvorgang während der Wiederherstellung eines gemeinsam verwendeten
Speichersegments fehlschlägt, kann der Vorgang nicht gestoppt und rückgängig gemacht
werden.

- Das Stoppen eines Containers, der NFS-Mounts enthält, kann dazu führen, dass ein
Hardware-Node hängt oder abstürzt.
- Aufgrund einer Race-Bedingung kann es bei Verwendung von netconsole zu einem Absturz kommen.

- Beim Hinzufügen eines zweiten Ethernet-Geräts zu einer Bridge kann ein Speicherleck auftreten.

- In '/vz over GFS'-Konfigurationen kann der Prozess der Erstellung eines
Template-Caches zu einem Programmfehler führen oder für immer im D-Status bleiben.

- Eine unerwartete Kernel-Panic kann auftreten, wenn das TCP Low Priority Congestion
Control-Modul (tcp_lp) auf dem Hardware-Node geladen wird.

- Die Verbindungsherstellung zu einem in einem Container ausgeführten FTP-Daemon kann zu
einer Kernel-Panic auf dem Hardware-Node führen.

- Bei der Durchführung des LTP-Testfalls read02 kann ein Fehler auftreten.
Der neue Virtuozzo Containers 4.0-Kernel enthält außerdem die folgenden Verbesserungen:
- Neue Systemaufrufe für 'Fedora 10'-basierte Container wurden hinzugefügt.

- Eine Reihe von NFS-Verbesserungen vom Mainstream wurden zurückportiert.

- GFS wurde von Version 0.1.23-5.el5_2.2 auf Version 0.1.31_3.el5 aktualisiert.
- Der DRBD-Treiber wurde auf Version 8.3.0 aktualisiert.

Allen Parallels Virtuozzo Containers 4.0-Benutzern wird dringend empfohlen, ihren Kernel auf die neueste Version zu aktualisieren.
--------------------------------------------------------------------------------

3. BEHOBENE FEHLER

Die folgenden Fehler in der Vorgängerversion wurden im neuen Virtuozzo Containers 4.0- Kernel behoben:

- #131067: Systemaufrufe für 'Fedora 10'-basierte Container hinzugefügt.
- #128997: futex_atomic_op_inuser() für 4GB-Split-Kernel erwirbt das down_read-Semaphor zweimal.

- #270318: Reale Inode-Nummern verwenden.
- #266929: Container kann nicht von Nicht-SLM- auf SLM-Node migriert werden.
- #116787: Neustart von local_kernel_thread im Fall von -ERESTARTNOINTR.
- #268163: Migration stoppen, wenn SHM-Wiederherstellung fehlschlägt.
- #423262: __rpc_execute() muss ve_struct enthalten, wenn Container mit NFS-Mount gestoppt wird.
- #270470: Abort NFS in Container's init do_exit() code before waiting for processes exit.
- #270851: Client und Server müssen ve_struct-Referenz enthalten.
- #271690: Stoppen eines Containers mit NFS-Mount kann hängen wegen Sleep mit sb_lock.
- #424458: rpciod deadlock: NFS-Verbesserungen von Mainstream einfügen. #423245
- #423216: GFS-Update von Version 0.1.23-5.el5_2.2 auf Version 0.1.31_3.el5. #425431
- #119814: read02-Fehler muss behoben werden.
- #266567: Race-Bedingung zwischen poll_napi und net_rx_actions korrigieren.

Die folgenden OpenVZ-Fehler wurden behoben:
- #1047: Checkpoint-/Wiederherstellungs-Prozedur korrigieren, wenn ein Prozess offenen FD für /proc/ hält./.

- #1145: Speicherverlust auf Master-Gerät bei brctl addif verhindern.
- #1134: Kernel hängt unvermittelt in tcp_lp_rtt_sample().
- #1147: Kernel-Panic bei Verbindung zu FTP-Daemon in einem Container.
--------------------------------------------------------------------------------
4. BEZUG DES NEUEN KERNELS
Sie können das Kernel-Update mithilfe des in der Parallels Virtuozzo
Containers 4.0-Distribution enthaltenen Tools "vzup2date" downloaden und installieren.

--------------------------------------------------------------------------------
5. INSTALLATION DES NEUEN KERNELS
Zum Installieren des Updates müssen Sie folgende Operationen durchführen:
I. Verwenden Sie den Befehl "rpm -ihv", um den neuen Kernel und die Virtuozzo-Module zu installieren.

# rpm -ivh vzkernel-2.6.18-028stab062.3.i686.rpm \ vzmodules-2.6.18-028stab062.3.i686.rpm
Preparing... ################################# [100%]
1:vzkernel ################################# [50%]
2:vzmodules ################################# [100%]

Verwenden Sie NICHT den Befehl "rpm -Uhv" zum Installieren des Kernels, da sonst alle zuvor auf Ihrem System installierten Kernel aus dem Hardware-Node entfernt werden können.

II. Sie können Ihre Bootloader-Konfigurationsdatei so einstellen, dass der neue Kernel standardmäßig geladen wird. Wenn Sie den LILO-Bootloader verwenden, muss der Befehl 'lilo' ausgeführt werden, um die Änderungen in den Bootsektor zu schreiben:
# lilo Added Virtuozzo2 * Added Virtuozzo1 Added linux Added linux-up
III. Starten Sie Ihren Computer mit dem Befehl "shutdown -r now" neu, um den neuen Kernel zu starten. --------------------------------------------------------------------------------
6. ERFORDERLICHE RPMS
Abhängig vom Prozessortyp auf Ihrem Hardware-Node sind die folgenden RPM-Pakete im Kernel-Update enthalten:
x86-Kernel:
- SMP: vzkernel-2.6.18-028stab062.3.i686.rpm vzmodules-2.6.18-028stab062.3.i686.rpm
- Enterprise: vzkernel-ent-2.6.18-028stab062.3.i686.rpm vzmodules-ent-2.6.18-028stab062.3.i686.rpm
- Enterprise mit deaktiviertem 4GB-Split-Feature: vzkernel-PAE-2.6.18-028stab062.3.i686.rpm vzmodules-PAE-2.6.18-028stab062.3.i686.rpm
x86_64-Kernel:
- SMP: vzkernel-2.6.18-028stab062.3.x86_64.rpm vzmodules-2.6.18-028stab062.3.x86_64.rpm
ia64-Kernel: vzkernel-2.6.18-028stab062.3.ia64.rpm vzmodules-2.6.18-028stab062.3.ia64.rpm
--------------------------------------------------------------------------------

7. REFERENZLISTE
https://rhn.redhat.com/errata/RHSA-2009-0225.html
https://rhn.redhat.com/errata/RHSA-2009-0264.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5713
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0031
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5029
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5182
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5079
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5300

35c16f1fded8e42577cb3df16429c57a d02f9caf3e11b191a38179103495106f e8e50b42231236b82df27684e7ec0beb 2897d76d56d2010f4e3a28f864d69223

Email subscription for changes to this article
Save as PDF