XEN VM에서 커널 업데이트

tag-icon tag-icon debian kernel security package-management xen
XEN VM에서 커널 업데이트

저는 Xen 서버에서 Debian jessie를 사용하고 있는데 이제 이 문제가 걱정됩니다.CVE-2016-10229:

4.5 이전 Linux 커널의 udp.c를 사용하면 원격 공격자가 UDP 트래픽을 통해 임의의 코드를 실행할 수 있어 MSG_PEEK 플래그를 사용하여 recv 시스템 호출 중에 안전하지 않은 두 번째 체크섬 계산을 트리거할 수 있습니다.

내 서버와 가상 머신에서 문제가 해결되었는지 확인하고 싶습니다.

Dom0에서:

$ uname -a                                                                                                                     
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux 

$ dpkg -l |grep linux-  
ii  linux-base                     3.5                                all          Linux image base package  
ii  linux-image-3.16.0-4-amd64     3.16.39-1+deb8u2                   amd64        Linux 3.16 for 64-bit PCs  
ii  linux-image-4.3.0-1-amd64      4.3.3-7                            amd64        Linux 4.3 for 64-bit PCs  
ii  linux-image-4.5.0-1-amd64      4.5.1-1                            amd64        Linux 4.5 for 64-bit PCs  
ii  linux-image-amd64              3.16+63                            amd64        Linux for 64-bit PCs (meta-package)  
ii  xen-linux-system-4.3.0-1-amd64 4.3.3-7                            amd64        Xen system with Linux 4.3 on 64-bit PCs (meta-package)  
ii  xen-linux-system-4.5.0-1-amd64 4.5.1-1                            amd64        Xen system with Linux 4.5 on 64-bit PCs (meta-package)  
ii  xen-linux-system-amd64         4.5+72                             amd64        Xen system with Linux for 64-bit PCs (meta-package)

웹 사이트에는 jessie 3.16.39-1의 "linux"라는 패키지에서 수정되었다고 나와 있습니다.

그런데 "linux"는 어떤 패키지인가요? 단순히 "linux"라고 불리는 패키지를 설치하지 않았나요?

이 연결을 어떻게 이해합니까?

답변1

두 개의 XEN Linux 지원 커널 버전인 4.3.3-7 및 4.5.1-1과 일반 비XEN 프로덕션 커널인 3.16.0-4, 4.3.3-7 및 4.5.1-1을 설치했습니다.

amd64(64비트 PC)용 일반 커널 패키지는 linux-image*-amd64이고 XEN 지원 커널 패키지는 입니다 xen-linux-system*-amd64.

매니페스트에 따라 해당 XEN 패키지는 다음과 같습니다.

xen-linux-system-4.3.0-1-amd64, 4.3.3-7  
xen-linux-system-4.5.0-1-amd64, 4.5.1-1

출력 결과에 따르면 uname버전 4.5가 활성화된 것으로 나타났습니다. 이는 취약하지 않음을 의미합니다.

그러나 커널 로그에는 v4.5-rc1에 의해 수정된 것으로 표시되지만 데비안 로그에 3.16.39-1만 취약하다고 표시되면 수정 사항이 이전 버전의 소스 코드로 백포트되었음을 ​​의미합니다. 과거에 그렇게 하세요.

그럼에도 불구하고 다음 명령을 사용하여 언제든지 이전 커널 버전을 제거할 수 있습니다.

sudo dpkg --purge xen-linux-system-4.3.0-1-amd64

답변2

uname -r설치된 커널 버전은 표시되지 않습니다."커널 릴리스"

uname -v설치된 것을 볼 수 있습니다버전
(긴 문자열의 오른쪽에 uname -a)

XEN VM에서 커널 업데이트

VM의 구성 파일에서 및 매개변수를 /etc/xen/*.cfg편집하여 Dom0의 새 커널과 일치해야 합니다.kernelramdisk

그 다음에:

1.

그 중 하나는 Pygrub과 함께 설치됩니다.

uname -v
#1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07)

따라서 사람들은 이미 일반적인 수단을 통해 보안을 확보하고 있습니다.apt-get upgrade

2.

Pygrub이 없는 가상 머신에서는 가상 머신을 종료하고 시작 파일을 /boot/가상 머신 내부의 폴더에 복사해야 합니다.

xl shutdown vmtest
mount /dev/vg0/vmtest-disk /mnt/
cp /boot/*4.5* /mnt/boot/
xen create /etc/xen/vmtest.cfg
삼.

일부 가상 머신에는 시작 파일이 없습니다 /boot/. 저는 가상 머신을 다시 생성만 했습니다.

관련 정보