Script de atualização do kernel do Ubuntu

Question 1

"Estamos usando um aplicativo para verificar vulnerabilidades"Esses scanners são famosos por seus muitos falsos positivos e levam a muitas perguntas como essa.

Dica profissional: vulnerabilidades não são rastreadas porversão do softwarenem porversão do pacote. As vulnerabilidades são rastreadas pelo número CVE.

Antes de concluir que “precisamos atualizar”,você precisa verificar as conclusões do scanner.

A saída do scanner deve incluir uma lista de CVEs.
Verifique cada CVE usando oRastreador CVE do Ubuntu. Isso lhe dirá exatamente quais versões de pacotes são vulneráveis a um CVE específico e quais não são.

Isso deve filtrar consideravelmente sua lista, pois você elimina todos os CVEs que já foram atenuados automaticamente.
- Dica profissional: existemdoismaneiras para os usuários mitigarem um CVE: aplicação de patches e atualização. Ubuntu geralmente usaremendando. O Debian usa patches há mais de 25 anos. É um método auditável e amplamente aceito para mitigar um CVE. Os upstreams costumam falar sobreatualizandosimplesmente porque muitos usuários não sabem como corrigir. Mas nós fazemos.
A seguir, leia a descrição de cada CVE restante (não mitigado). Veja a gravidade. Observe o efeito (travamento, perda de dados, execução de código, desvio de permissão, etc.). Veja o que é necessário para realmente acionar a exploração. E pergunte se isso é algo que você realmente precisa mitigar ou se os processos e proteções existentes serão suficientes.

Verifique também se seus sistemas estão executando o kernel atualizado mais recente fornecido pelo Ubuntu. A partir de hoje, os sistemas 20.04 no aws devem usar 5.15.0.1038.43~20.04.27(ubuntu-security) ou 5.15.0.1039.44~20.04.28(ubuntu-updates). Obtenha essas informações do seu gerenciador de pacotes... e verifique se há erros de digitação no seu trabalho ( 5.15.0-1083-awsainda não é um kernel real).

Se o seu kernel for realmente o mais recente para o Ubuntu, e sua organização REALMENTE ainda quiser "atualizar o kernel", isso significará criar máquinas substitutas com uma versão mais recente do Ubuntu (como 22.04) e migrar todos os seus aplicativos e dados. Grande trabalho e muitas vezes desnecessário.

Se a sua organização insiste na (tola) confiança cega nos resultados do scanner e exige um kernel mais recente enquanto ainda executa o 20.04, não oferecemos suporte para isso. Eles precisarão pagar alguém por esse trabalho personalizado e suporte contínuo.

Answer

"Estamos usando um aplicativo para verificar vulnerabilidades"Esses scanners são famosos por seus muitos falsos positivos e levam a muitas perguntas como essa.

Dica profissional: vulnerabilidades não são rastreadas porversão do softwarenem porversão do pacote. As vulnerabilidades são rastreadas pelo número CVE.

Antes de concluir que “precisamos atualizar”,você precisa verificar as conclusões do scanner.

A saída do scanner deve incluir uma lista de CVEs.
Verifique cada CVE usando oRastreador CVE do Ubuntu. Isso lhe dirá exatamente quais versões de pacotes são vulneráveis a um CVE específico e quais não são.

Isso deve filtrar consideravelmente sua lista, pois você elimina todos os CVEs que já foram atenuados automaticamente.
- Dica profissional: existemdoismaneiras para os usuários mitigarem um CVE: aplicação de patches e atualização. Ubuntu geralmente usaremendando. O Debian usa patches há mais de 25 anos. É um método auditável e amplamente aceito para mitigar um CVE. Os upstreams costumam falar sobreatualizandosimplesmente porque muitos usuários não sabem como corrigir. Mas nós fazemos.
A seguir, leia a descrição de cada CVE restante (não mitigado). Veja a gravidade. Observe o efeito (travamento, perda de dados, execução de código, desvio de permissão, etc.). Veja o que é necessário para realmente acionar a exploração. E pergunte se isso é algo que você realmente precisa mitigar ou se os processos e proteções existentes serão suficientes.

Verifique também se seus sistemas estão executando o kernel atualizado mais recente fornecido pelo Ubuntu. A partir de hoje, os sistemas 20.04 no aws devem usar 5.15.0.1038.43~20.04.27(ubuntu-security) ou 5.15.0.1039.44~20.04.28(ubuntu-updates). Obtenha essas informações do seu gerenciador de pacotes... e verifique se há erros de digitação no seu trabalho ( 5.15.0-1083-awsainda não é um kernel real).

Se o seu kernel for realmente o mais recente para o Ubuntu, e sua organização REALMENTE ainda quiser "atualizar o kernel", isso significará criar máquinas substitutas com uma versão mais recente do Ubuntu (como 22.04) e migrar todos os seus aplicativos e dados. Grande trabalho e muitas vezes desnecessário.

Se a sua organização insiste na (tola) confiança cega nos resultados do scanner e exige um kernel mais recente enquanto ainda executa o 20.04, não oferecemos suporte para isso. Eles precisarão pagar alguém por esse trabalho personalizado e suporte contínuo.

Question 2

As etapas a seguir funcionaram para mim:

wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i

Então entreY

uname -rms

Tentei usar apenas apt updateor apt upgradee even apt-get update, mas esses comandos nunca atualizariam meu kernel.

Answer

As etapas a seguir funcionaram para mim:

wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i

Então entreY

uname -rms

Tentei usar apenas apt updateor apt upgradee even apt-get update, mas esses comandos nunca atualizariam meu kernel.

Script de atualização do kernel do Ubuntu

Responder1

Responder2

informação relacionada