Utilizo Debian jessie en un servidor Xen y ahora me preocupa el problemaCVE-2016-10229:
udp.c en el kernel de Linux anterior a 4.5 permite a atacantes remotos ejecutar código arbitrario a través de tráfico UDP que desencadena un segundo cálculo de suma de comprobación inseguro durante la ejecución de una llamada al sistema recv con el indicador MSG_PEEK.
Quiero comprobar si el problema está resuelto en mi servidor y mis máquinas virtuales.
En el Dom0:
$ uname -a
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux
$ dpkg -l |grep linux-
ii linux-base 3.5 all Linux image base package
ii linux-image-3.16.0-4-amd64 3.16.39-1+deb8u2 amd64 Linux 3.16 for 64-bit PCs
ii linux-image-4.3.0-1-amd64 4.3.3-7 amd64 Linux 4.3 for 64-bit PCs
ii linux-image-4.5.0-1-amd64 4.5.1-1 amd64 Linux 4.5 for 64-bit PCs
ii linux-image-amd64 3.16+63 amd64 Linux for 64-bit PCs (meta-package)
ii xen-linux-system-4.3.0-1-amd64 4.3.3-7 amd64 Xen system with Linux 4.3 on 64-bit PCs (meta-package)
ii xen-linux-system-4.5.0-1-amd64 4.5.1-1 amd64 Xen system with Linux 4.5 on 64-bit PCs (meta-package)
ii xen-linux-system-amd64 4.5+72 amd64 Xen system with Linux for 64-bit PCs (meta-package)
El sitio dice que está arreglado en el paquete llamado "linux", en jessie 3.16.39-1
¿Pero cuál es este paquete "linux"? ¿No tengo instalado ese paquete llamado simplemente "linux"?
¿Cómo entiendo esta conexión?
Respuesta1
Tiene instaladas dos versiones del kernel compatible con Linux XEN, exactamente 4.3.3-7 y 4.5.1-1, y el kernel de producción normal que no es XEN 3.16.0-4, 4.3.3-7 y 4.5.1-1. .
Los paquetes de kernel habituales para AMD64 (PC de 64 bits) son linux-image*-amd64
, los habilitados para XEN son xen-linux-system*-amd64
.
Los paquetes XEN correspondientes según su listado son:
xen-linux-system-4.3.0-1-amd64, 4.3.3-7
xen-linux-system-4.5.0-1-amd64, 4.5.1-1
Según el resultado de su correo electrónico, parece uname
que la versión 4.5 está activa, lo que significa que no es vulnerable.
No obstante, aunque los registros del kernel dicen que se solucionó con v4.5-rc1, si los registros de Debian dicen que solo 3.16.39-1 es vulnerable, significa que las correcciones se trasladaron al código fuente de versiones anteriores, como solían hacer.
No obstante, siempre puedes desinstalar la versión anterior del kernel con el comando:
sudo dpkg --purge xen-linux-system-4.3.0-1-amd64
Respuesta2
uname -r
no muestra la versión del kernel instalada, sino solo la"liberación del núcleo"
con uname -v
se ve el instaladoversión
(que está más a la derecha en la cadena larga en uname -a
)
Actualice los kernels dentro de las VM XEN
En los archivos de configuración de las máquinas virtuales, /etc/xen/*.cfg
debe editar el parámetro kernel
y ramdisk
para que coincida con el nuevo kernel en Dom0.
Entonces:
1.Uno de ellos está instalado con Pygrub:
uname -v
#1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)
para que uno esté seguro ya a través del regularapt-get upgrade
En las máquinas virtuales sin Pygrub, tuve que apagar la máquina virtual y copiar los archivos de arranque a la /boot/
carpeta dentro de la máquina virtual:
xl shutdown vmtest
mount /dev/vg0/vmtest-disk /mnt/
cp /boot/*4.5* /mnt/boot/
xen create /etc/xen/vmtest.cfg
3.
Algunas máquinas virtuales no tenían archivos de arranque en su interior /boot/
, allí no hice nada, simplemente volví a crear la máquina virtual.