Há algum tempo, iniciei um projeto incorporado usando o kernel 3.2.10. Agora o projeto deve entrar em produção e o kernel estável é o 3.2.16. Eu preferiria não atualizar nada para evitar incompatibilidades etc. mas se vulnerabilidades sérias de segurança foram conectadas de 3.2.10 a 3.2.16 eu tenho que fazer isso.
Onde posso descobrir se as vulnerabilidades de segurança foram conectadas entre as duas versões? Eu não consegui encontrar a resposta em lugares óbvios como o kernel.org.
Um lugar para procurar é o Common Vulnerabilities and Exposures do MITRE. A página de pesquisa é aqui . Eu fiz uma pesquisa no "kernel do Linux" e encontrei um monte, mas apenas um em 2012, que é quando o 3.2 teria saído, certo? Eu não acompanho o desenvolvimento do Linux Kernel de perto, mas sou levado a entender que os desenvolvedores do Kernel Linux têm uma atitude que considera a maioria dos "buracos de segurança" como erros de confiabilidade ou algo parecido.
A maioria dos problemas de segurança do kernel só pode ser explorada carregando módulos estranhos ou raramente utilizados. (isso é verdade nos últimos dois anos em que tenho assistido aos CVEs do Kernel Linux de perto).
Exemplos de módulos:
Portanto, a maneira mais fácil de estar no lado seguro é desativar o carregamento automático e / ou automático do módulo. Isso deve ser fácil em um sistema embarcado.
Além disso, você nunca tem certeza sobre os recursos mais recentes - a maioria dos CVE foi centrada em torno de novos módulos que trouxeram novas funcionalidades.
O GLibC é outro candidato a sérios problemas de segurança. Então, se o seu sistema embarcado permitir um shell, o invasor se tornará root - mais cedo ou mais tarde.