Verifique se o CVE-2016-10229 está corrigido no meu servidor XEN Debian Linux

1

Eu uso o Debian jessie em um servidor Xen e agora estou preocupado com o problema CVE-2016-10229 :

udp.c in the Linux kernel before 4.5 allows remote attackers to execute arbitrary code via UDP traffic that triggers an unsafe second checksum calculation during execution of a recv system call with the MSG_PEEK flag.

Quero verificar se o problema foi resolvido no meu servidor e nas VMs

No Dom0:

$ uname -a                                                                                                                     
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux 

$ dpkg -l |grep linux-  
ii  linux-base                     3.5                                all          Linux image base package  
ii  linux-image-3.16.0-4-amd64     3.16.39-1+deb8u2                   amd64        Linux 3.16 for 64-bit PCs  
ii  linux-image-4.3.0-1-amd64      4.3.3-7                            amd64        Linux 4.3 for 64-bit PCs  
ii  linux-image-4.5.0-1-amd64      4.5.1-1                            amd64        Linux 4.5 for 64-bit PCs  
ii  linux-image-amd64              3.16+63                            amd64        Linux for 64-bit PCs (meta-package)  
ii  xen-linux-system-4.3.0-1-amd64 4.3.3-7                            amd64        Xen system with Linux 4.3 on 64-bit PCs (meta-package)  
ii  xen-linux-system-4.5.0-1-amd64 4.5.1-1                            amd64        Xen system with Linux 4.5 on 64-bit PCs (meta-package)  
ii  xen-linux-system-amd64         4.5+72                             amd64        Xen system with Linux for 64-bit PCs (meta-package)  

O site sais, ele é corrigido no pacote chamado "linux", em jessie 3.16.39-1

Mas qual é esse pacote "linux"? Eu não tenho esse pacote instalado simplesmente chamado "linux"?

Como entendo essa conexão?

    
por rubo77 16.04.2017 / 03:59

2 respostas

1

Você instalou duas versões de kernel XEN-enable linux, exatamente 4.3.3-7 e 4.5.1-1, e o kernel de produção não-XEN regular 3.16.0-4, 4.3.3-7 e 4.5. 1-1.

Os pacotes normais do kernel para amd64 (PCs de 64 bits) são linux-image*-amd64 , os XEN habilitados são xen-linux-system*-amd64 .

Os pacotes XEN correspondentes por sua listagem são:

xen-linux-system-4.3.0-1-amd64, 4.3.3-7  
xen-linux-system-4.5.0-1-amd64, 4.5.1-1

Parece que, da saída do seu uname , a versão 4.5 está ativa, o que significa que você não está vulnerável.

No entanto, enquanto os logs do kernel dizem que ele foi corrigido pela v4.5-rc1, se os logs do Debian dizem que apenas o 3.16.39-1 é vulnerável, isso significa que as correções foram portadas para o código-fonte das versões mais antigas, fazer.

No entanto, você pode sempre desinstalar a versão antiga do kernel com o comando:

sudo dpkg --purge xen-linux-system-4.3.0-1-amd64
    
por 16.04.2017 / 04:24
0

uname -r não mostra a versão do kernel instalada, mas apenas o "lançamento do kernel"

com uname -v você vê a versão instalada em (que fica mais à direita na longa string em uname -a )

Atualize os kernels dentro das VMs XEN

Nos arquivos de configuração das VMs /etc/xen/*.cfg , você precisa editar o parâmetro kernel e ramdisk para corresponder ao novo kernel no Dom0.

Então:

1

Um deles é instalado com o Pygrub:

uname -v
#1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)

de modo que um já esteja seguro através do% regularapt-get upgrade

2

Nas VMs sem o Pygrub, tive que desligar a VM e copiar os arquivos de inicialização para a pasta /boot/ dentro da vm:

xl shutdown vmtest
mount /dev/vg0/vmtest-disk /mnt/
cp /boot/*4.5* /mnt/boot/
xen create /etc/xen/vmtest.cfg
3

algumas vms não tinham arquivos de inicialização dentro de /boot/ , lá eu não fiz nada, apenas criei novamente a vm

    
por 16.04.2017 / 17:30