内核漏洞修复测试记录：CVE-2021-3697修复后系统启动异常问题

CVE-2021-3697修复后系统启动异常问题记录

问题背景

在应用CVE-2021-3697内核漏洞修复后，部分服务器出现启动异常，系统无法正常进入目标运行级别。该漏洞涉及内核中的权限检查机制，修复方案通过加强访问控制来防止未授权的内核对象访问。

问题现象

系统在启动过程中卡在initramfs阶段，日志显示如下错误信息：

[    2.134567] kernel BUG at fs/exec.c:1234
[    2.134568] invalid opcode: 0000 [#1] SMP NOPTI
[    2.134570] CPU: 0 PID: 1 Comm: init Not tainted 5.10.0-12-generic #13-Ubuntu

同时，dmesg中发现大量权限检查失败的告警。

复现步骤

1. 在Ubuntu 20.04系统上安装内核版本5.10.0-12-generic
2. 执行以下命令应用安全补丁：

sudo apt update && sudo apt install linux-image-5.10.0-12-generic

3. 重启系统观察启动过程
4. 检查系统日志：dmesg | grep -i "BUG"

修复方案

该问题源于补丁引入的权限检查过于严格，影响了正常的内核初始化流程。建议采用以下配置修改：

# 临时绕过问题（仅用于测试环境）
echo 0 > /proc/sys/kernel/panic_on_oops

或在grub引导参数中添加：

initcall_debug init_on_alloc=1

安全建议

此问题属于修复后的副作用，实际生产环境中应使用官方发布的稳定补丁版本，而非自行编译内核。建议通过系统管理工具（如landscape）统一部署安全更新，并在关键业务系统上先行测试。

验证方法

使用以下脚本验证系统状态：

#!/bin/bash
if [[ $(cat /proc/sys/kernel/panic_on_oops) -eq 0 ]]; then
    echo "修复成功"
else
    echo "修复失败，请检查配置"
fi