Ubuntu 20.04에서 ksplice uptrack을 테스트한 결과 라이브 커널에 패치가 적용되는 것으로 나타났습니다. 예를 들어:
Effective kernel version is 5.4.0-139.156
uptrack-upgrade -y
The following steps will be taken:
Install [w4h8q11e] CVE-2023-20938: Use-after-free in the Android Binder deriver.
Installing [w4h8q11e] CVE-2023-20938: Use-after-free in the Android Binder deriver.
Your kernel is fully up to date.
Effective kernel version is 5.4.0-144.161
커널은 처음에는 5.4.0-139였지만 재부팅하지 않고 5.4.0-144로 변경되었습니다. 내 질문은 간단합니다. Linux에서 커널의 "라이브 업그레이드"(예: 5.4.0-144에서 5.10.0-121로)를 가능하게 하는 "패치" 또는 시스템이 있습니까? 몇 년 전에 이 문제에 대한 Intel 패치에 대해 들었습니다.
답변1
라이브 커널 패치는 커널 버전을 업그레이드하는 대신 취약점을 수정하도록 설계되었습니다. 5.4.0-139가 5.4.0-144로 바뀌는 것은 특이한 현상입니다. 어쩌면 우분투는 단일 커널 버전 내에서 모든 모듈의 호환성을 유지하기 위해 뭔가를 할 수도 있지만, 이는아니요업스트림에서 허용되거나 가능하다고 간주됩니다. 5.4.1을 5.4.2로 교체하더라도 Upstream은 여전히 재부팅해야 한다고 주장합니다.
라이브 패치를 통해 새로운 주요 커널 버전으로 업그레이드하는 것은 여전히 불가능합니다.
- 커널은 헤더와 일반적으로 ABI/API를 포함하여 버전 간 주요 변경 사항을 확인합니다.
- 핵심 커널 구조에 대한 모든 변경 사항은 커널 모듈에 반영되므로 다른 커널 버전과 호환되지 않습니다.
라이브 패치는 커널 메모리 이미지를 변경합니다. 디스크의 모듈은 변경할 수 없습니다.