银河麒麟高级服务器操作系统V10SP2(全X86/ARM架构)【漏洞修复】操作指南

目录

1 激活漏洞（kylin-activation）

1.1漏洞详情

1.2修复方式

1.2.1银河麒麟高级服务器操作系统V10SP1 20200711版本

1.2.2银河麒麟高级服务器操作系统V10SP1 20210518及V10SP2 20210524版本

1.3官网公告地址

2 ext4文件系统漏洞

2.1 漏洞详情

2.2 修复方式

2.3 官网公告地址

3补丁包获取方式

---

 

原文来自麒麟知识库：点击此处直接跳转

简介

本文主要是写明了部分漏洞（如kylin-activation安全漏洞、ext4文件系统漏洞等）的详情以及修复方法，供参考与使用，适用于银河麒麟高级服务器操作系统V10SP1和V10SP2版本。

正文

1 激活漏洞（kylin-activation）

1.1漏洞详情

CVE-2023-1164 描述： kylin-activation包是Kylin OS用于授权验证和激活的组件。软件包没有严格限制导入文件操作的合法性，因此将系统配置文件所在的目录导入到一个非法的配置文件中，导致普通用户本地特权的提升。

1.2修复方式

1.2.1银河麒麟高级服务器操作系统V10SP1 20200711版本

（1）升级命令

rpm -ivh kf5*

rpm -Fvh kylin-activation*

rpm -ivh paho-c*

rpm -Fvh libkylin-activation*

（2）杀死 activation-daemon 进程的操作为：

killall /usr/sbin/activation-daemon

（3）启动服务

若当前系统启用了图形桌面环境，则执行 kylin-activation 命令操作使补丁包生效

kylin-activation

若当前系统未启用图形桌面环境，如运行在文本模式，则需要手动启动守护进程，需要执行以下命令

nohup activation-daemon 2>1&

1.2.2银河麒麟高级服务器操作系统V10SP1 20210518及V10SP2 20210524版本

（1）升级命令

rpm -ivh kf5*

rpm -Fvh kylin-activation*

rpm -ivh paho-c*

rpm -Fvh libkylin-activation*

（2）杀死 activation-daemon 进程的操作为：

killall /usr/sbin/activation-daemon

（3）启动服务

若当前系统启用了图形桌面环境，则执行 kylin-activation 命令操作使补丁包生效

kylin-activation

若当前系统未启用图形桌面环境，如运行在文本模式，则需要手动启动守护进程，需要执行以下命令

nohup activation-daemon 2>1&

1.3官网公告地址

KYSA-202303-1033 - 国产操作系统、麒麟操作系统——麒麟软件官方网站

2 ext4文件系统漏洞

2.1 漏洞详情

当系统文件数量达到一定值(约2000万) 时，系统I0异常，文件系统只读，文件写入失败，导致应用系统及数据库运行异常，可造成业务中断。此缺陷涉及ARM架构下麒麟操作系统底层系统漏洞。经与麒麟软件分析，初步判断在ARM架构下，kylinOS最多可容纳约2063万个文件，当产生的文件数量大于前数，且内存pagesize、文件系统blocksize均为64k时即会导致文件目录分裂触发系统bug。此缺陷也可能存在于CentOS等其他Linux发行版中。

2.2 修复方式

（特别注意：升级有风险，建议升级之前备份重要数据，以防止升级失败，机器无法正常启动，影响业务）

（1）版本信息与现有内核版本如下：（以银河麒麟高级服务器操作系统V10SP1 X86架构为例）

（2）需要升级内核版本与依赖包如下，可在银河麒麟高级服务器操作系统V10SP1 20210518版本update源中下载：（该升级包为ARM架构升级包）

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/

（3）使用安装命令安装，注意需要使用ivh参数，不要使用Uvh参数，如果用Uvh参数的话，会把/boot/分区下的旧内核引导文件全部删除，没有回头的机会了（以银河麒麟高级服务器操作系统V10SP1 X86架构为例）

rpm -ivh kernel-*.rpm

（4）安装完成后。查看无报错，查看/boot/分区中有无新内核的引导配置问题（以银河麒麟高级服务器操作系统V10SP1 X86架构为例）

（5）查看 cat /boot/grub2/grub.cfg 中是否已有新内核内容，如没有自动生成，则需要手动添加如下内容（以银河麒麟高级服务器操作系统V10SP1 X86架构为例）

（6）确认上述内容无误后，重启系统，查看新内核是否升级成功（以银河麒麟高级服务器操作系统V10SP1 X86架构为例）

2.3 官网公告地址

KYUA-202308-1256 - 国产操作系统、麒麟操作系统——麒麟软件官方网站

3补丁包获取方式

可从外网源中下载对应补丁包

Arm源：

银河麒麟高级服务器操作系统V10SP1 20210518: https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/

银河麒麟高级服务器操作系统V10SP2 20210524: https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/

X86源：

银河麒麟高级服务器操作系统V10SP1 20210518: https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/

银河麒麟高级服务器操作系统V10SP2 20210524: https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/