我在 Xen 伺服器上使用 Debian jessie,現在我擔心這個問題CVE-2016-10229:
4.5 之前的 Linux 核心中的 udp.c 允許遠端攻擊者透過 UDP 流量執行任意程式碼,在執行帶有 MSG_PEEK 標誌的 recv 系統呼叫期間觸發不安全的第二個校驗和計算。
我想檢查我的伺服器和虛擬機器上的問題是否已解決
在 Dom0 上:
$ uname -a
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux
$ dpkg -l |grep linux-
ii linux-base 3.5 all Linux image base package
ii linux-image-3.16.0-4-amd64 3.16.39-1+deb8u2 amd64 Linux 3.16 for 64-bit PCs
ii linux-image-4.3.0-1-amd64 4.3.3-7 amd64 Linux 4.3 for 64-bit PCs
ii linux-image-4.5.0-1-amd64 4.5.1-1 amd64 Linux 4.5 for 64-bit PCs
ii linux-image-amd64 3.16+63 amd64 Linux for 64-bit PCs (meta-package)
ii xen-linux-system-4.3.0-1-amd64 4.3.3-7 amd64 Xen system with Linux 4.3 on 64-bit PCs (meta-package)
ii xen-linux-system-4.5.0-1-amd64 4.5.1-1 amd64 Xen system with Linux 4.5 on 64-bit PCs (meta-package)
ii xen-linux-system-amd64 4.5+72 amd64 Xen system with Linux for 64-bit PCs (meta-package)
該網站稱,它已修復在名為“linux”的包中,在 jessie 3.16.39-1 中
但是這個包「linux」是哪個?我沒有安裝那個簡單地稱為“linux”的軟體包?
我如何理解這種連結?
答案1
您已經安裝了兩個支援 XEN linux 的核心版本,即 4.3.3-7 和 4.5.1-1,以及常規的非 XEN 生產內核 3.16.0-4、4.3.3-7 和 4.5.1-1 。
amd64(64 位元 PC)的常規核心套件是linux-image*-amd64,啟用 XEN 的核心套件是xen-linux-system*-amd64。
根據您的清單,對應的 XEN 軟體包是:
xen-linux-system-4.3.0-1-amd64, 4.3.3-7
xen-linux-system-4.5.0-1-amd64, 4.5.1-1
從您的輸出看來uname,4.5 版本處於活動狀態,這意味著您不容易受到攻擊。
儘管如此,雖然內核日誌顯示它已被v4.5-rc1 修復,但如果Debian 日誌顯示只有3.16.39-1 存在漏洞,則意味著修復程序已向後移植到舊版本源代碼,就像他們過去所做的那樣。
儘管如此,您始終可以使用以下命令卸載舊核心版本:
sudo dpkg --purge xen-linux-system-4.3.0-1-amd64
答案2
uname -r不顯示已安裝的核心版本,僅顯示“內核發布”
你uname -v會看到安裝的版本
(在長字串的右邊uname -a)
更新 XEN VM 內的內核
在 VM 的設定檔中,/etc/xen/*.cfg您必須編輯kernel和ramdisk參數以符合 Dom0 中的新核心。
然後:
1.其中之一與 Pygrub 一起安裝:
uname -v
#1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)
這樣人們就已經透過常規的方式獲得了安全apt-get upgrade
在沒有 Pygrub 的虛擬機器中,我必須關閉虛擬機器並將啟動檔案複製到/boot/虛擬機器內的資料夾:
xl shutdown vmtest
mount /dev/vg0/vmtest-disk /mnt/
cp /boot/*4.5* /mnt/boot/
xen create /etc/xen/vmtest.cfg
有些虛擬機器裡面沒有啟動文件/boot/,我什麼也沒做,只是重新建立了虛擬機