Article ID: 6305, created on Jul 13, 2009, last review on Apr 29, 2014

  • Applies to:
  • Virtuozzo containers for Linux 4.0

Résolution

---------------------------------------------------------------------------
Synopsis : Le nouveau noyau de Parallels Virtuozzo Containers 4.0 offre un nombre important d’améliorations en termes de stabilité et des mises à jour quant à la sécurité.

Date de sortie : 05/05/2009

Produit : Parallels Virtuozzo Containers 4.0

Mots-clés : 'améliorations en termes de stabilité' 'mises à jour de sécurité'

----------------------------------------------------------------------------
Ce document donne des informations sur le nouveau noyau Virtuozzo Containers 4.0, version 2.6.18-028stab062.3.

1999-2009 Parallels Holdings, Ltd. et ses affiliés. Tous droits réservés.

---------------------------------------------------------------------------
TABLE DES MATIERES

1. A propos de cette version

2. Description des mises à jour

3. Bugs réparés

4. Obtention d’un nouveau noyau

5. Installation d’un nouveau noyau

6. RPM requis

7. Liste de références

--------------------------------------------------------------------------------

1. A PROPOS DE CETTE VERSION

L’actuelle mise à jour du noyau Virtuozzo Containers 4.0 offre un nouveau noyau basé sur le noyau Red Hat 5 (2.6.18-128.1.1.el5). Le noyau mis à jour comprend un certain nombre de mises à jour importantes au niveau de la sécurité et des améliorations en termes de stabilité.

--------------------------------------------------------------------------------

2. DESCRIPTION DES MISES A JOUR

Le noyau mis à jour de Virtuozzo Containers 4.0 comprend des améliorations au niveau des vulnérabilités sécuritaires suivantes (dont celles qui ont été réparées dans les noyaux Red Hat 2.6.18-128.el5 et 2.6.18-128.1.1.el5) :

- Un défaut peut survenir lors du traitement d’un trafic réseau important sur un système SMP avec plusieurs cœurs. Un attaquant a pu envoyer un total volumineux de trafic réseau, créant ainsi un refus du service.  (CVE-2008-5713, Important)

- Une fuite de mémoire à pu se produire dans le traitement keyctl. Un utilisateur local a pu utiliser cette défaillance pour supprimer la mémoire du noyau, conduisant éventuellement à un refus du service.  .  (CVE-2009-0031, Important)

- Lorsque fput() a été appelé pour fermer un socket, la fonction __scm_destroy() dans le noyau Linux a pu effectuer des appels récursifs indirects vers lui-même, entraînant ainsi un refus de la demande du service.  (CVE-2008-5029, Important)

- Une « race condition » ou situation de concurrence a été détectée dans le noyau Linux, lors de la mise en place Watch Removal.Unmount. Cela a pu entraîner le fait qu’un utilisateur local, non privilégié dépassent ses droits et privilèges ou déclenche un refus du service.  (CVE-2008-5182, Important)

- Une erreur a été détectée dans le sous-système du Mode de transfert asynchrone (ATM). Un utilisateur non privilégié local a pu profiter de cette défaillance pour écouter plusieurs fois sur le même socket, causant peut-être un refus du service.  (CVE-2008-5079, Important)

- Les utilisateurs locaux ont pu entraîner un refus du service ("soft lockup") et une perte du processus via un nombre important d’appels de la fonction sendmsg qui n’est pas bloquée pendant la collecte AF_UNIX et déclenche une condition OOM.  (CVE-2008-5300, Important)

Le noyau mis à jour de Parallels Virtuozzo Containers 4.0 comprend des améliorations pour les problèmes suivants :

- Une application utilisant un futex peut geler si elle a été démarrée sur un Hardware Node fonctionnant sur le noyau Entreprise 32 bits.

- Certains serveurs NFS matériels peuvent générer des nombres inode dans une plage de 32 bits. Dans ce cas, monter une zone privée de conteneurs qui réside sur NFS peut échouer. Ce problème a été résolu pour les noyaux 64 bits. Sur les Hardware Nodes avec des noyaux de 32 bits, le template de conteneurs et les zones privées doivent résider sur le même super bloc.

- Migrer un conteneur à partir d’un Hardware Node ayant le mode SLM désactivé pour un node où ce mode est activé peut échouer.

- Contrôler un conteneur peut échouer si un processus particulier ouvre /proc// et si le processus associé meut par la suite.

- Si le processus de migration échoue pendant la restauration d’un segment de mémoire partagée, l’opération ne peut pas être stoppée et vous ne pourrez pas revenir en arrière.

- Arrêter des conteneurs contenant des montages NFS peut conduire à un crash ou un gel du Hardware Node.

- En raison d’une « race condition », un crash peut survenir en utilisant netconsole.

- Une fuite peut se produire en ajoutant un deuxième périphérique Ethernet au pont.

- Dans les configurations '/vz over GFS', le processus de création d’un cache de template peut conduire à un bogue ou à gel pour toujours à l’état D.

- Une panique du noyau non attendue peut se produire lorsque le module de contrôle TCP Low Priority Congestion (tcp_lp) est chargé sur l’Hardware Node

- Connecter le ftp daemon fonctionnant dans un conteneur peut conduire à une panique sur l’Hardware Node.

- Un échec peut se produire en exécutant le test LTP read02.


Le nouveau noyau de Virtuozzo Containers 4.0 inclut également les améliorations suivantes :

- De nouveaux appels au système pour les conteneurs basés sur 'Fedora 10' ont été ajoutés.

- Un nombre d’améliorations NFS du mainstream a été « backported ».

- Le GFS a été mis à jour à partir de la version 0.1.23-5.el5_2.2 vers 0.1.31_3.el5.

- Le périphérique DRBD a été mis à jour vers la version 8.3.0.

Nous vous conseillons vivement que tous les utilisateurs de Parallels Virtuozzo Containers 4.0 mettent à jour leur noyau pour passer à la toute dernière version.
--------------------------------------------------------------------------------

3. BUGS REPARES

Les bugs suivants de la précédente version ont été réparés dans le nouveau noyau Virtuozzo Containers 4.0 :

- #131067: Ajout des appels du système pour les conteneurs basés sur 'Fedora 10'.

- #128997: futex_atomic_op_inuser() pour les noyaux divisés en 4Go prend deux fois le sémaphore down_read semaphore twice.

- #270318: Utilisation des numéros d’inodes réels.

- #266929: Impossible de migrer un conteneur d’un node non SML à un node SML.

- #116787: Redémarrage de local_kernel_thread dans le cas de -ERESTARTNOINTR.

- #268163: Arrêt de la migration en cas d’échec de la restauration de shm.

- #423262: __rpc_execute() doit détenir ve_struct lors de l’arrêt d’un conteneur avec NFS dedans.

- #270470: Echec du NFS dans le code init do_exit() du conteneur avant d’attendre la sortie des processus.

- #270851: clnt et serv doivent détenir la référence ve_struct.

- #271690: L’arrêt d’un conteneur avec NFS dedans peut s’interrompre à cause du blocage avec sb_lock.

- #424458: rpciod deadlock: inclut les améliorations de NFS depuis le mainstream.
  #423245

- #423216: Mise à niveau du GFS à partir de la version 0.1.23-5.el5_2.2 vers 0.1.31_3.el5.
  #425431

- #119814: L’échec read02 doit être réparé.

- #266567: Réparez une compétition entre poll_napi et net_rx_actions.


Les bugs OpenVZ suivants ont été réparés :

- #1047: Réparez la procédure de restauration/contrôle si un processus maintient fd ouvert pour /proc//.

- #1145: Ne laissez pas le périphérique maître sur brctl addif.

- #1134: Le noyau s’interrompt brutalement dans tcp_lp_rtt_sample().

- #1147: Panique du noyau lors de la connexion à ftp daemon dans un conteneur.

--------------------------------------------------------------------------------

4. OBTENTION D’UN NOUVEAU NOYAU

Vous pouvez télécharger et installer la mise à jour du noyau à l’aide de l’utilitaire vzup2date utility inclus dans le jeu de distribution de Parallels Virtuozzo Containers 4.0.

--------------------------------------------------------------------------------

5. INSTALLATION D’UN NOUVEAU NOYAU

Pour installer la mise à jour, vous devez exécuter les opérations suivantes :

I. Utilisez la commande "rpm -ihv" pour installer le nouveau noyau et les modules Virtuozzo.

# rpm -ivh vzkernel-2.6.18-028stab062.3.i686.rpm \
vzmodules-2.6.18-028stab062.3.i686.rpm
Preparing...                ################################# [100%]
    1:vzkernel               ################################# [50%]
    2:vzmodules              ################################# [100%]

    VEUILLEZ NE PAS UTILISER la commande "rpm -Uhv" pour installer le noyau. Sinon, tous les noyaux précédemment installés sur votre système peuvent être supprimés de l’Hardware Node.

II. Vous pouvez adapter le fichier de configuration de votre chargeur de boot pour que le nouveau noyau soit chargé par défaut. Si vous utilisez le chargeur de boot LILO, veuillez ne pas oublier d’exécuter la commande 'lilo' pour écrire les changements dans le secteur du boot tor:

     # lilo
     Added Virtuozzo2 *
     Added Virtuozzo1
     Added linux
     Added linux-up

III. Rebootez votre ordinateur avec la commande "shutdown -r now" pour booter le nouveau noyau.

--------------------------------------------------------------------------------

6. RPM REQUIS

En fonction du type de processus sur votre Hardware Node, les packs RPM suivants sont compris dans la mise à jour du noyau :

noyaux x86:

- SMP:
   vzkernel-2.6.18-028stab062.3.i686.rpm
   vzmodules-2.6.18-028stab062.3.i686.rpm

- Enterprise:
   vzkernel-ent-2.6.18-028stab062.3.i686.rpm
   vzmodules-ent-2.6.18-028stab062.3.i686.rpm

- Enterprise with the 4GB split feature disabled:
   vzkernel-PAE-2.6.18-028stab062.3.i686.rpm
   vzmodules-PAE-2.6.18-028stab062.3.i686.rpm


x86_64 kernels:

- SMP:
   vzkernel-2.6.18-028stab062.3.x86_64.rpm
   vzmodules-2.6.18-028stab062.3.x86_64.rpm

ia64 kernel:
   vzkernel-2.6.18-028stab062.3.ia64.rpm
   vzmodules-2.6.18-028stab062.3.ia64.rpm


--------------------------------------------------------------------------------

7. LISTE DE REFERENCES


https://rhn.redhat.com/errata/RHSA-2009-0225.html

https://rhn.redhat.com/errata/RHSA-2009-0264.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5713

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0031

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5029

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5182

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5079

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5300

 

35c16f1fded8e42577cb3df16429c57a d02f9caf3e11b191a38179103495106f e8e50b42231236b82df27684e7ec0beb 2897d76d56d2010f4e3a28f864d69223

Email subscription for changes to this article
Save as PDF