Scientific Linux 安全更新：SL 5.0-5.4 i386/x86_64 中的 gfs-kmod

medium Nessus 插件 ID 60768

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

SL 5.5 中已包含此更新后的 gfs-kmod。

在 gfs_lock() 实现中发现一个缺陷。GFS 锁定代码可跳过在其模式集中具有 S_ISGID 位（针对执行的 set-group-ID）的文件的锁定操作。在挂载有 GFS 文件系统的系统上，本地非特权用户可利用此缺陷引起内核错误。(CVE-2010-0727)

这些更新后的 gfs-kmod 程序包与最新的内核 (2.6.18-194.el5) 同步。较早版本 gfs-kmod 程序包中的模块因与运行内核不匹配而加载失败。可以强制加载这些模块。不过，通过此更新，用户无需再如此。

这些更新后的 gfs-kmod 程序包还修复以下缺陷：

- SELinux 处于宽松模式时，文件创建期间的争用条件可造成一个或多个群集节点被隔离并将剩余节点锁定在 GFS 文件系统之外。通过此更新，此争用条件不再发生。(BZ#471258)

- GFS 文件系统上启用了 ACL（访问控制列表）时，如果已开始发出写入请求的事务没有足够的空闲区块来完成该操作，则该事务将造成内核错误。此更新确保在开始操作之前有足够的区块用于写入请求。(BZ#513885)

- 在只读或读写模式下请求对 GFS 中某个文件执行“flock”有时会导致发生“Resource temporarily unavailable”状态错误（EWOULDBLOCK 的错误 11）。在这些情况下，无法在所述文件上获得群组。此更新已修复此问题，因此可在 GFS 文件上成功获得群组而不发生此错误。
(BZ#515717)

- GFS 撤回功能是群集中的 GFS 文件系统的数据完整性功能。如果 GFS 内核模块在 I/O 操作之后在 GFS 文件系统中检测到不一致，文件系统将不可供群集使用。GFS 撤回功能的严重程序低于内核错误，这样将造成另一个节点隔离该节点。通过此更新，您可以通过指定的“-o errors=panic”选项挂载该文件系统，从而替代 GFS 撤回功能。指定此选项后，任何通常会造成系统撤回的错误都将转而造成系统错误。
这样会停止节点的群集通信，从而造成节点被隔离。(BZ#517145)

最后，这些更新后的 gfs-kmod 程序包还提供以下增强：

- GFS 内核模块已更新为使用也受以下文件系统支持的新的通用冻结和解冻 ioctl 接口：ext3、ext4、GFS2、JFS 和 ReiserFS。通过此更新，GFS 支持通过 VFS 级 FIFREEZE/FITHAW ioctl 接口冻结/解冻。(BZ#487610)