银河麒麟操作系统安全漏洞（CVE-2023-44488）解决方案

姜仲明

第1章、 漏洞信息

1.1、 问题描述

libvpx中的VP9对宽度处理不当，导致与编码相关的崩溃。

1.2、 风险等级

高风险

1.3、 修复版本

银河麒麟高级服务器操作系统 V10 SP3	firefox	aarch64	已修复	79.0-7.p17.ky10	KYSA-202409-1006
银河麒麟高级服务器操作系统 V10 SP3	firefox	x86_64	已修复	79.0-7.p17.ky10	KYSA-202409-1006
银河麒麟高级服务器操作系统 V10 SP3	libvpx	aarch64	已修复	1.7.0-10.p01.ky10	KYSA-202404-1073
银河麒麟高级服务器操作系统 V10 SP3	libvpx	x86_64	已修复	1.7.0-10.p01.ky10	KYSA-202404-1073

第2章、 备份方案

2.1、 查看当前软件包版本

rpm -qa |grep firefox

rpm -qa |grep libvpx

2.2、 查看相关的软件包依赖关系

yum deplist firefox

yum deplist libvpx

2.3、 下载当前环境的软件包

yumdownloader firefox

yumdownloader libvpx

第3章、 解决方案

3.1、 升级软件包版本

aarch64

升级软件包"firefox"到"79.0-7.p17.ky10"或更高版本。

升级软件包"libvpx"到"1.7.0-10.p01.ky10"或更高版本。

x86_64

升级软件包"firefox"到"79.0-7.p17.ky10"或更高版本。

升级软件包"libvpx"到"1.7.0-10.p01.ky10"或更高版本。

3.2、 升级方法

3.2.1、 方法一配置源进行升级安装

3.2.1.1、 打开软件包源配置文件，新增以下源配置。

aarch64【选择其一】

https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/aarch64/

https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/aarch64/

x86_64【选择其一】

https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/x86_64/

https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/x86_64/

3.2.1.2、 修改yum源配置文件

vi /etc/yum.repos.d/kylin_x86_64.repo

 

3.2.1.3、 配置完成后执行更新命令进行升级

命令样式如下：

yum clean all

yum update firefox

yum update libvpx

 

3.2.2、 方法二下载安装包进行升级安装

3.2.2.1、 打开软件包源配置文件，新增以下源配置。

aarch64【选择其一】

https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/aarch64/

https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/aarch64/

x86_64【选择其一】

https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/x86_64/

https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/x86_64/

3.2.2.2、 修改yum源配置文件

vi /etc/yum.repos.d/kylin_x86_64.repo

 

3.2.2.3、 配置完成后执行更新命令进行升级

通过下载链接下载补丁包，使用升级命令根据受影响的软件包列表进行升级安装,命令样例如下：

yum clean all

yum install ./libvpx-1.7.0-11.p02.ky10.x86_64.rpm

rpm -Uvh libvpx-1.7.0-11.p02.ky10.x86_64.rpm

 

第4章、 其他说明

1.针对debuginfo和devel包，仅在有特殊需求的情况下才进行安装与升级。

2.如果客户方没有网络环境，安装软件包缺依赖，可使用如下方法在本地的“虚拟机”或“物理机”上将依赖包打包。

①.搭建与客户方一致的本地环境，需要确保系统版本、安装系统时的选项完全一致。

②.挂载上面提到的对应yum源。

③.使用如下命令进行依赖包的下载：

yum --downloadonly --downloaddir=./ install [补丁包]

注：[补丁包]可以为多个，也可使用./*.rpm来批量下载当前目录下所有补丁包的依赖包。

来源：https://www.cnblogs.com/A121/p/19282457