Atualize os kernels dentro das VMs XEN

tag-icon tag-icon debian kernel security package-management xen
Atualize os kernels dentro das VMs XEN

Eu uso Debian jessie em um servidor Xen e agora estou preocupado com o problemaCVE-2016-10229:

O udp.c no kernel Linux anterior à versão 4.5 permite que invasores remotos executem código arbitrário por meio de tráfego UDP que aciona um segundo cálculo de soma de verificação inseguro durante a execução de uma chamada de sistema recv com o sinalizador MSG_PEEK.

Quero verificar se o problema foi resolvido no meu servidor e nas VMs

No Dom0:

$ uname -a                                                                                                                     
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux 

$ dpkg -l |grep linux-  
ii  linux-base                     3.5                                all          Linux image base package  
ii  linux-image-3.16.0-4-amd64     3.16.39-1+deb8u2                   amd64        Linux 3.16 for 64-bit PCs  
ii  linux-image-4.3.0-1-amd64      4.3.3-7                            amd64        Linux 4.3 for 64-bit PCs  
ii  linux-image-4.5.0-1-amd64      4.5.1-1                            amd64        Linux 4.5 for 64-bit PCs  
ii  linux-image-amd64              3.16+63                            amd64        Linux for 64-bit PCs (meta-package)  
ii  xen-linux-system-4.3.0-1-amd64 4.3.3-7                            amd64        Xen system with Linux 4.3 on 64-bit PCs (meta-package)  
ii  xen-linux-system-4.5.0-1-amd64 4.5.1-1                            amd64        Xen system with Linux 4.5 on 64-bit PCs (meta-package)  
ii  xen-linux-system-amd64         4.5+72                             amd64        Xen system with Linux for 64-bit PCs (meta-package)

O site sais, está corrigido no pacote chamado "linux", em jessie 3.16.39-1

Mas qual é esse pacote “linux”? Não tenho aquele pacote instalado simplesmente chamado de "linux"?

Como posso entender essa conexão?

Responder1

Você instalou duas versões do kernel XEN habilitado para Linux, exatamente 4.3.3-7 e 4.5.1-1, e o kernel de produção regular não-XEN 3.16.0-4, 4.3.3-7 e 4.5.1-1 .

Os pacotes regulares de kernel para AMD64 (PCs de 64 bits) são linux-image*-amd64, os habilitados para XEN são xen-linux-system*-amd64.

Os pacotes XEN correspondentes por sua listagem são:

xen-linux-system-4.3.0-1-amd64, 4.3.3-7  
xen-linux-system-4.5.0-1-amd64, 4.5.1-1

Parece pela saída do seu arquivo unameque a versão 4.5 está ativa, o que significa que você não está vulnerável.

No entanto, embora os logs do kernel digam que foi corrigido pela v4.5-rc1, se os logs do Debian disserem que apenas 3.16.39-1 é vulnerável, isso significa que as correções foram portadas novamente para o código-fonte de versões mais antigas, como costumavam fazer.

No entanto, você sempre pode desinstalar a versão mais antiga do kernel com o comando:

sudo dpkg --purge xen-linux-system-4.3.0-1-amd64

Responder2

uname -rnão mostra a versão do kernel instalada, mas apenas o"liberação do kernel"

com uname -vvocê vê o instaladoversão
(que está mais à direita na longa string em uname -a)

Atualize os kernels dentro das VMs XEN

Nos arquivos de configuração das VMs /etc/xen/*.cfgvocê deve editar o parâmetro kernele ramdiskpara corresponder ao novo kernel no Dom0.

Então:

1.

Um deles é instalado com Pygrub:

uname -v
#1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)

para que alguém já esteja seguro através do regularapt-get upgrade

2.

Nas VMs sem Pygrub, tive que desligar a VM e copiar os arquivos de inicialização para a /boot/pasta dentro da VM:

xl shutdown vmtest
mount /dev/vg0/vmtest-disk /mnt/
cp /boot/*4.5* /mnt/boot/
xen create /etc/xen/vmtest.cfg
3.

algumas vms não tinham arquivos de boot dentro /boot/, aí eu não fiz nada, apenas recriei a vm

informação relacionada