Eu uso Debian jessie em um servidor Xen e agora estou preocupado com o problemaCVE-2016-10229:
O udp.c no kernel Linux anterior à versão 4.5 permite que invasores remotos executem código arbitrário por meio de tráfego UDP que aciona um segundo cálculo de soma de verificação inseguro durante a execução de uma chamada de sistema recv com o sinalizador MSG_PEEK.
Quero verificar se o problema foi resolvido no meu servidor e nas VMs
No Dom0:
$ uname -a
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux
$ dpkg -l |grep linux-
ii linux-base 3.5 all Linux image base package
ii linux-image-3.16.0-4-amd64 3.16.39-1+deb8u2 amd64 Linux 3.16 for 64-bit PCs
ii linux-image-4.3.0-1-amd64 4.3.3-7 amd64 Linux 4.3 for 64-bit PCs
ii linux-image-4.5.0-1-amd64 4.5.1-1 amd64 Linux 4.5 for 64-bit PCs
ii linux-image-amd64 3.16+63 amd64 Linux for 64-bit PCs (meta-package)
ii xen-linux-system-4.3.0-1-amd64 4.3.3-7 amd64 Xen system with Linux 4.3 on 64-bit PCs (meta-package)
ii xen-linux-system-4.5.0-1-amd64 4.5.1-1 amd64 Xen system with Linux 4.5 on 64-bit PCs (meta-package)
ii xen-linux-system-amd64 4.5+72 amd64 Xen system with Linux for 64-bit PCs (meta-package)
O site sais, está corrigido no pacote chamado "linux", em jessie 3.16.39-1
Mas qual é esse pacote “linux”? Não tenho aquele pacote instalado simplesmente chamado de "linux"?
Como posso entender essa conexão?
Responder1
Você instalou duas versões do kernel XEN habilitado para Linux, exatamente 4.3.3-7 e 4.5.1-1, e o kernel de produção regular não-XEN 3.16.0-4, 4.3.3-7 e 4.5.1-1 .
Os pacotes regulares de kernel para AMD64 (PCs de 64 bits) são linux-image*-amd64
, os habilitados para XEN são xen-linux-system*-amd64
.
Os pacotes XEN correspondentes por sua listagem são:
xen-linux-system-4.3.0-1-amd64, 4.3.3-7
xen-linux-system-4.5.0-1-amd64, 4.5.1-1
Parece pela saída do seu arquivo uname
que a versão 4.5 está ativa, o que significa que você não está vulnerável.
No entanto, embora os logs do kernel digam que foi corrigido pela v4.5-rc1, se os logs do Debian disserem que apenas 3.16.39-1 é vulnerável, isso significa que as correções foram portadas novamente para o código-fonte de versões mais antigas, como costumavam fazer.
No entanto, você sempre pode desinstalar a versão mais antiga do kernel com o comando:
sudo dpkg --purge xen-linux-system-4.3.0-1-amd64
Responder2
uname -r
não mostra a versão do kernel instalada, mas apenas o"liberação do kernel"
com uname -v
você vê o instaladoversão
(que está mais à direita na longa string em uname -a
)
Atualize os kernels dentro das VMs XEN
Nos arquivos de configuração das VMs /etc/xen/*.cfg
você deve editar o parâmetro kernel
e ramdisk
para corresponder ao novo kernel no Dom0.
Então:
1.Um deles é instalado com Pygrub:
uname -v
#1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)
para que alguém já esteja seguro através do regularapt-get upgrade
Nas VMs sem Pygrub, tive que desligar a VM e copiar os arquivos de inicialização para a /boot/
pasta dentro da VM:
xl shutdown vmtest
mount /dev/vg0/vmtest-disk /mnt/
cp /boot/*4.5* /mnt/boot/
xen create /etc/xen/vmtest.cfg
3.
algumas vms não tinham arquivos de boot dentro /boot/
, aí eu não fiz nada, apenas recriei a vm