Como o CentOS está usando o Kernel sem suporte (EOL Kernel)?

1

Apenas percebi que o CentOS 7 está usando o Kernel 3.10 que foi mantido de agosto de 2013 a novembro de 2017, então é basicamente EOL.

Eu sei que o CentOS não atualiza as versões do Kernel entre versões menores do CentOS, que é a razão para ele ter esse Kernel antigo e agora sem suporte.

Como isso funciona em geral? E se uma vulnerabilidade ou um bug sério for encontrado?

Quando o Kernel ainda era suportado, ele teria sido corrigido pelos mantenedores do Kernel e, então, eu acho que o CentOS poderia tê-lo feito backport.

Agora que o Kernel é EOL, isso não deixa todas as empresas usando o CentOS 7 como um tipo de parafuso?

Alguém poderia explicar isso?

    
por user 20.09.2018 / 22:17

1 resposta

2

O CentOS revê os patches de segurança para seus produtos em todo o ciclo de vida da manutenção. O CentOS 7 receberá suporte para atualizações de manutenção até junho de 2024, o que significa que eles continuarão com os patches de segurança até lá. Não confunda o suporte a kernel upstream com o suporte dos mantenedores de distribuição.

Para mais informações, veja isto: link

EDIT: aqui está uma lista (truncada) de patches de segurança no pacote kernel mais recente do CentOS 7:

$ rpm -qip --changelog kernel-3.10.0-862.11.6.el7.x86_64.rpm | grep -E '(^\*|CVE)' | grep -B1 CVE
* Fri Aug 10 2018 Jan Stancek <[email protected]> [3.10.0-862.11.6.el7]
- [kernel] cpu/hotplug: Fix 'online' sysfs entry with 'nosmt' (Josh Poimboeuf) [1593383 1593384] {CVE-2018-3620}
* Thu Aug 09 2018 Frantisek Hrbata <[email protected]> [3.10.0-862.11.5.el7]
- [kernel] cpu/hotplug: Enable 'nosmt' as late as possible (Josh Poimboeuf) [1593383 1593384] {CVE-2018-3620}
* Tue Aug 07 2018 Jan Stancek <[email protected]> [3.10.0-862.11.4.el7]
- [net] ipv6: fix nospec-related regression in ipv6_addr_prefix() (Josh Poimboeuf) [1589033 1589035] {CVE-2018-3693}
* Mon Aug 06 2018 Jan Stancek <[email protected]> [3.10.0-862.11.3.el7]
- [net] tcp: add tcp_ooo_try_coalesce() helper (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: call tcp_drop() from tcp_data_queue_ofo() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: detect malicious patterns in tcp_collapse_ofo_queue() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: avoid collapses in tcp_prune_queue() if possible (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: free batches of packets in tcp_prune_ofo_queue() (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] net: add rb_to_skb() and other rb tree helpers (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: fix a stale ooo_last_skb after a replace (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: use an RB tree for ooo receive queue (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: refine tcp_prune_ofo_queue() to not drop all packets (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [net] tcp: increment sk_drops for dropped rx packets (Paolo Abeni) [1611368 1611369] {CVE-2018-5390}
- [x86] x86/syscall: Fix regression when using the last syscall (pkey_free) (Lauro Ramos Venancio) [1589033 1589035] {CVE-2018-3693}
<SNIP>

Existem muitos, muitos mais corrigidos que foram introduzidos desde que o CentOS 7 foi originalmente introduzido. Esta é apenas uma pequena amostra das mais recentes.

    
por 21.09.2018 / 06:55