Script de actualización del kernel de Ubuntu

Question 1

"Estamos usando una aplicación para escanear vulnerabilidades." Estos escáneres son conocidos por sus numerosos falsos positivos y suscitan muchas preguntas como ésta.

Consejo profesional: las vulnerabilidades no son rastreadas porVersión del softwareni porversión del paquete. Las vulnerabilidades se rastrean mediante el número CVE.

Antes de llegar a la conclusión de que "necesitamos mejorar",necesitas verificar las conclusiones del escáner..

La salida del escáner debe incluir una lista de CVE.
Verifique cada CVE usando elRastreador CVE de Ubuntu. Esto le dirá exactamente qué versiones de paquetes son vulnerables a un CVE específico y cuáles no.

Esto debería filtrar considerablemente su lista, ya que elimina todos los CVE que ya fueron mitigados automáticamente.
- Consejo profesional: haydosFormas para que los usuarios mitiguen un CVE: parches y actualizaciones. Ubuntu generalmente usaparchear. Debian ha utilizado parches durante más de 25 años. Es un método auditable y ampliamente aceptado para mitigar un CVE. Los upstreams suelen hablar deactualizandosimplemente porque muchos usuarios no saben cómo parchear. Pero lo hacemos.
A continuación, lea la descripción de cada CVE restante (no mitigado). Mira la gravedad. Observe el efecto (bloqueo, pérdida de datos, ejecución de código, omisión de permisos, etc.). Observe lo que se requiere para activar realmente el exploit. Y pregunte si esto es algo que realmente necesita mitigar o si sus procesos y protecciones existentes serán suficientes.

También verifique que sus sistemas estén ejecutando el kernel actualizado más reciente proporcionado por Ubuntu. A partir de hoy, los sistemas 20.04 en AWS deberían usar 5.15.0.1038.43~20.04.27(ubuntu-security) o 5.15.0.1039.44~20.04.28(ubuntu-updates). Obtenga esa información de su administrador de paquetes... y verifique su trabajo en busca de errores tipográficos ( 5.15.0-1083-awsaún no es un núcleo real).

Si su kernel es realmente el último para Ubuntu, y su organización REALMENTE todavía quiere "actualizar el kernel", eso significará poner en funcionamiento máquinas de reemplazo con una versión más reciente de Ubuntu (como 22.04) y migrar todas sus aplicaciones y datos. Un gran trabajo y, a menudo, innecesario.

Si su organización insiste en una confianza ciega (tonta) en los resultados del escáner y exige un kernel más nuevo mientras aún ejecuta 20.04, no brindamos soporte para eso. Tendrán que pagarle a alguien por ese trabajo personalizado y soporte continuo.

Answer

"Estamos usando una aplicación para escanear vulnerabilidades." Estos escáneres son conocidos por sus numerosos falsos positivos y suscitan muchas preguntas como ésta.

Consejo profesional: las vulnerabilidades no son rastreadas porVersión del softwareni porversión del paquete. Las vulnerabilidades se rastrean mediante el número CVE.

Antes de llegar a la conclusión de que "necesitamos mejorar",necesitas verificar las conclusiones del escáner..

La salida del escáner debe incluir una lista de CVE.
Verifique cada CVE usando elRastreador CVE de Ubuntu. Esto le dirá exactamente qué versiones de paquetes son vulnerables a un CVE específico y cuáles no.

Esto debería filtrar considerablemente su lista, ya que elimina todos los CVE que ya fueron mitigados automáticamente.
- Consejo profesional: haydosFormas para que los usuarios mitiguen un CVE: parches y actualizaciones. Ubuntu generalmente usaparchear. Debian ha utilizado parches durante más de 25 años. Es un método auditable y ampliamente aceptado para mitigar un CVE. Los upstreams suelen hablar deactualizandosimplemente porque muchos usuarios no saben cómo parchear. Pero lo hacemos.
A continuación, lea la descripción de cada CVE restante (no mitigado). Mira la gravedad. Observe el efecto (bloqueo, pérdida de datos, ejecución de código, omisión de permisos, etc.). Observe lo que se requiere para activar realmente el exploit. Y pregunte si esto es algo que realmente necesita mitigar o si sus procesos y protecciones existentes serán suficientes.

También verifique que sus sistemas estén ejecutando el kernel actualizado más reciente proporcionado por Ubuntu. A partir de hoy, los sistemas 20.04 en AWS deberían usar 5.15.0.1038.43~20.04.27(ubuntu-security) o 5.15.0.1039.44~20.04.28(ubuntu-updates). Obtenga esa información de su administrador de paquetes... y verifique su trabajo en busca de errores tipográficos ( 5.15.0-1083-awsaún no es un núcleo real).

Si su kernel es realmente el último para Ubuntu, y su organización REALMENTE todavía quiere "actualizar el kernel", eso significará poner en funcionamiento máquinas de reemplazo con una versión más reciente de Ubuntu (como 22.04) y migrar todas sus aplicaciones y datos. Un gran trabajo y, a menudo, innecesario.

Si su organización insiste en una confianza ciega (tonta) en los resultados del escáner y exige un kernel más nuevo mientras aún ejecuta 20.04, no brindamos soporte para eso. Tendrán que pagarle a alguien por ese trabajo personalizado y soporte continuo.

Question 2

Los siguientes pasos funcionaron para mí:

wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i

Entonces entraY

uname -rms

Intenté usar solo apt updateo apt upgradee incluso apt-get update, pero esos comandos nunca actualizaron mi kernel.

Answer

Los siguientes pasos funcionaron para mí:

wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i

Entonces entraY

uname -rms

Intenté usar solo apt updateo apt upgradee incluso apt-get update, pero esos comandos nunca actualizaron mi kernel.

Script de actualización del kernel de Ubuntu

Respuesta1

Respuesta2

información relacionada