Aktualisieren Sie die Kernel in den XEN-VMs

tag-icon tag-icon debian kernel security package-management xen
Aktualisieren Sie die Kernel in den XEN-VMs

Ich verwende Debian Jessie auf einem Xen-Server und bin nun besorgt über das ProblemCVE-2016-10229:

udp.c im Linux-Kernel vor 4.5 ermöglicht Remote-Angreifern die Ausführung von beliebigem Code über UDP-Verkehr, der während der Ausführung eines recv-Systemaufrufs mit dem Flag MSG_PEEK eine unsichere zweite Prüfsummenberechnung auslöst.

Ich möchte prüfen, ob das Problem auf meinem Server und meinen VMs behoben ist

Auf dem Dom0:

$ uname -a                                                                                                                     
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux 

$ dpkg -l |grep linux-  
ii  linux-base                     3.5                                all          Linux image base package  
ii  linux-image-3.16.0-4-amd64     3.16.39-1+deb8u2                   amd64        Linux 3.16 for 64-bit PCs  
ii  linux-image-4.3.0-1-amd64      4.3.3-7                            amd64        Linux 4.3 for 64-bit PCs  
ii  linux-image-4.5.0-1-amd64      4.5.1-1                            amd64        Linux 4.5 for 64-bit PCs  
ii  linux-image-amd64              3.16+63                            amd64        Linux for 64-bit PCs (meta-package)  
ii  xen-linux-system-4.3.0-1-amd64 4.3.3-7                            amd64        Xen system with Linux 4.3 on 64-bit PCs (meta-package)  
ii  xen-linux-system-4.5.0-1-amd64 4.5.1-1                            amd64        Xen system with Linux 4.5 on 64-bit PCs (meta-package)  
ii  xen-linux-system-amd64         4.5+72                             amd64        Xen system with Linux for 64-bit PCs (meta-package)

Die Site sagt, es sei im Paket "Linux" in Jessie 3.16.39-1 behoben

Aber was ist dieses Paket "Linux"? Ich habe dieses Paket nicht installiert, es heißt einfach "Linux"?

Wie verstehe ich diesen Zusammenhang?

Antwort1

Sie haben zwei XEN-Linux-fähige Kernelversionen installiert, genau 4.3.3-7 und 4.5.1-1, und den regulären Nicht-XEN-Produktionskernel 3.16.0-4, 4.3.3-7 und 4.5.1-1.

Die regulären Kernelpakete für amd64 (64-Bit-PCs) sind linux-image*-amd64, die XEN-fähigen sind xen-linux-system*-amd64.

Die entsprechenden XEN-Pakete gemäß Ihrer Auflistung sind:

xen-linux-system-4.3.0-1-amd64, 4.3.3-7  
xen-linux-system-4.5.0-1-amd64, 4.5.1-1

Aus Ihrer Ausgabe scheint hervorzugehen uname, dass die Version 4.5 aktiv ist, was bedeutet, dass Sie nicht gefährdet sind.

Obwohl die Kernel-Protokolle angeben, dass das Problem durch v4.5-rc1 behoben wurde, bedeutet dies, dass die Fixes wie üblich auf den Quellcode älterer Versionen zurückportiert wurden, wenn in den Debian-Protokollen nur 3.16.39-1 als anfällig angegeben wird.

Sie können die ältere Kernelversion jedoch jederzeit mit dem folgenden Befehl deinstallieren:

sudo dpkg --purge xen-linux-system-4.3.0-1-amd64

Antwort2

uname -rzeigt nicht die installierte Kernel-Version an, sondern nur die"Kernel-Release"

mit uname -vsehen Sie die installiertenAusführung
(das in der langen Zeichenfolge weiter rechts steht uname -a)

Aktualisieren Sie die Kernel in den XEN-VMs

In den Konfigurationsdateien für die VMs /etc/xen/*.cfgmüssen Sie die Parameter kernelund bearbeiten ramdisk, damit sie zum neuen Kernel im Dom0 passen.

Dann:

1.

Eine davon wird mit Pygrub installiert:

uname -v
#1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)

so dass man schon durch die reguläreapt-get upgrade

2.

In den VMs ohne Pygrub musste ich die VM herunterfahren und die Boot-Dateien in den /boot/Ordner innerhalb der VM kopieren:

xl shutdown vmtest
mount /dev/vg0/vmtest-disk /mnt/
cp /boot/*4.5* /mnt/boot/
xen create /etc/xen/vmtest.cfg
3.

einige VMs hatten keine Boot-Dateien darin /boot/, da habe ich nichts gemacht, nur die VM neu erstellt

verwandte Informationen