Ich verwende Debian Jessie auf einem Xen-Server und bin nun besorgt über das ProblemCVE-2016-10229:
udp.c im Linux-Kernel vor 4.5 ermöglicht Remote-Angreifern die Ausführung von beliebigem Code über UDP-Verkehr, der während der Ausführung eines recv-Systemaufrufs mit dem Flag MSG_PEEK eine unsichere zweite Prüfsummenberechnung auslöst.
Ich möchte prüfen, ob das Problem auf meinem Server und meinen VMs behoben ist
Auf dem Dom0:
$ uname -a
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux
$ dpkg -l |grep linux-
ii linux-base 3.5 all Linux image base package
ii linux-image-3.16.0-4-amd64 3.16.39-1+deb8u2 amd64 Linux 3.16 for 64-bit PCs
ii linux-image-4.3.0-1-amd64 4.3.3-7 amd64 Linux 4.3 for 64-bit PCs
ii linux-image-4.5.0-1-amd64 4.5.1-1 amd64 Linux 4.5 for 64-bit PCs
ii linux-image-amd64 3.16+63 amd64 Linux for 64-bit PCs (meta-package)
ii xen-linux-system-4.3.0-1-amd64 4.3.3-7 amd64 Xen system with Linux 4.3 on 64-bit PCs (meta-package)
ii xen-linux-system-4.5.0-1-amd64 4.5.1-1 amd64 Xen system with Linux 4.5 on 64-bit PCs (meta-package)
ii xen-linux-system-amd64 4.5+72 amd64 Xen system with Linux for 64-bit PCs (meta-package)
Die Site sagt, es sei im Paket "Linux" in Jessie 3.16.39-1 behoben
Aber was ist dieses Paket "Linux"? Ich habe dieses Paket nicht installiert, es heißt einfach "Linux"?
Wie verstehe ich diesen Zusammenhang?
Antwort1
Sie haben zwei XEN-Linux-fähige Kernelversionen installiert, genau 4.3.3-7 und 4.5.1-1, und den regulären Nicht-XEN-Produktionskernel 3.16.0-4, 4.3.3-7 und 4.5.1-1.
Die regulären Kernelpakete für amd64 (64-Bit-PCs) sind linux-image*-amd64
, die XEN-fähigen sind xen-linux-system*-amd64
.
Die entsprechenden XEN-Pakete gemäß Ihrer Auflistung sind:
xen-linux-system-4.3.0-1-amd64, 4.3.3-7
xen-linux-system-4.5.0-1-amd64, 4.5.1-1
Aus Ihrer Ausgabe scheint hervorzugehen uname
, dass die Version 4.5 aktiv ist, was bedeutet, dass Sie nicht gefährdet sind.
Obwohl die Kernel-Protokolle angeben, dass das Problem durch v4.5-rc1 behoben wurde, bedeutet dies, dass die Fixes wie üblich auf den Quellcode älterer Versionen zurückportiert wurden, wenn in den Debian-Protokollen nur 3.16.39-1 als anfällig angegeben wird.
Sie können die ältere Kernelversion jedoch jederzeit mit dem folgenden Befehl deinstallieren:
sudo dpkg --purge xen-linux-system-4.3.0-1-amd64
Antwort2
uname -r
zeigt nicht die installierte Kernel-Version an, sondern nur die"Kernel-Release"
mit uname -v
sehen Sie die installiertenAusführung
(das in der langen Zeichenfolge weiter rechts steht uname -a
)
Aktualisieren Sie die Kernel in den XEN-VMs
In den Konfigurationsdateien für die VMs /etc/xen/*.cfg
müssen Sie die Parameter kernel
und bearbeiten ramdisk
, damit sie zum neuen Kernel im Dom0 passen.
Dann:
1.Eine davon wird mit Pygrub installiert:
uname -v
#1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)
so dass man schon durch die reguläreapt-get upgrade
In den VMs ohne Pygrub musste ich die VM herunterfahren und die Boot-Dateien in den /boot/
Ordner innerhalb der VM kopieren:
xl shutdown vmtest
mount /dev/vg0/vmtest-disk /mnt/
cp /boot/*4.5* /mnt/boot/
xen create /etc/xen/vmtest.cfg
3.
einige VMs hatten keine Boot-Dateien darin /boot/
, da habe ich nichts gemacht, nur die VM neu erstellt