【修复CVE-2026-31431】
修复CVE-2026-31431
看了其他网页都要升级内核,我感觉升级内核可能影响的比较大,有没有不用升级内核的办法呢?
1,升级内核重启服务器
2,*不修改内核重启服务器*
3,不修改内核,不重启服务器,修改配置(目前发现修改配置没用)
下面是不升级内核 重启服务器的办法,如果谁有不用重启服务器的办法也可以留言交流。
为了方便测试,我安装了一台BCLinuxU3与生产的BCLinux 很接近。
生产:
虚拟机:
grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)
CONFIG_CRYPTO_USER_API_AEAD=y
根据返回结果判断:
=m: 表示algif_aead 以内核模块形式加载,受影响,运行asmod | grep algif_aead 来确认模块是否加载,需卸载模块,禁止加载该模块。
=y: 表示静态编译进内核,受影响, 需重新编译内核,或升级内核。
=n: 表示未启动该功能,不受影响。
lsmod | grep algif_aead
modinfo algif_aead
name: algif_aead
filename: (builtin)
description: AEAD kernel crypto API user space interface
author: Stephan Mueller smueller@chronox.de
license: GPL
卸载:
rmmod algif_aead
rmmod: ERROR: Module algif_aead is builtin.
对于 =m 可以采取
\1. 禁用algif_aead模块(永久生效,重启后仍有效)
echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf
\2. 卸载已加载的algif_aead模块(无输出或提示未加载均正常)
rmmod algif_aead 2>/dev/null
但是对于=y
可以采取:
1, 至少升级内核到安全版本
rpm -ivh kernel-6.19.12
2,修改grub引导 重启服务器
先写一个测试python调用这个模块:
cat ceshi.py
###创建一个测试程序,尝试调用 AF_ALG 接口
import socket
try:
sock = socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0)
sock.bind((‘aead’, ‘gcm(aes)’))
print(‘❌ 危险!接口可以调用!’)
except Exception as e:
print(‘✅ 安全:’ + str(e))
2,修改grub的命令:
(先试了一下)
vi /etc/default/grub
# GRUB_CMDLINE_LINUX 末尾加 initcall_blacklist=algif_aead_init
grub2-mkconfig -o /boot/grub2/grub.cfg
reboot
发现没用
然后用命令:
grubby --update-kernel=ALL --args=“initcall_blacklist=algif_aead_init”
测试:
重启之前测试下:
python3 ceshi.py
❌ 危险!接口可以调用!
cat /proc/cmdline | grep initcall_blacklist
是空的。
reboot
重启后测试:
python3 ceshi.py
✅ 安全:[Errno 2] No such file or directory
[root@zyzs-ceshi ~]# grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)
CONFIG_CRYPTO_USER_API_AEAD=y
虽然这个依然有,但是 这个内核已经被关进小黑屋了 开机的时候不再加载!,因为上面那个命令是筛选的配置文件,而非模块
cat /proc/cmdline | grep initcall_blacklist
BOOT_IMAGE=/vmlinuz-5.10.0-216.0.0.115.oe2203sp4.x86_64 root=/dev/mapper/centos-root ro crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet initcall_blacklist=algif_aead_init
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐
4
0- 0
已为社区贡献1条内容
所有评论(0)