얼마 전 3.2.10 커널을 사용하여 임베디드 프로젝트를 시작했습니다. 프로젝트는 이제 프로덕션 단계에 있으며 안정적인 커널은 3.2.16입니다. 비호환성 등을 피하기 위해 아무것도 업그레이드하고 싶지 않지만 중요한 보안 허점이 3.2.10에서 3.2.16으로 해결되면 업그레이드를 해야 합니다.
두 버전 사이에 보안 허점이 수정되었는지 어디서 확인할 수 있나요? kernel.org와 같은 뻔한 곳에서는 답을 찾을 수 없었습니다.
답변1
MITRE에 가서 구경해 보세요일반적인 취약점 및 노출. 검색페이지는여기. "리눅스 커널"을 검색해서 잔뜩 찾았는데, 3.2가 이미 나온 2012년에 나온 건 딱 하나뿐이었죠, 그렇죠? 나는 Linux 커널 개발을 면밀히 따르지는 않지만 Linux 커널 개발자의 태도는 대부분의 "보안 허점"을 안정성 버그 또는 이와 유사한 것으로 취급하는 것임을 이해합니다.
답변2
대부분의 커널 보안 문제는 이상하거나 거의 사용되지 않는 모듈을 로드해야만 악용될 수 있습니다. (저는 지난 2년 동안 Linux 커널 CVE에 세심한 주의를 기울여 왔으며 이는 확실히 그렇습니다.)
예제 모듈:
- IPX
- 사과 이야기
- IPv6(놀랍지 않지만 많은 기능이 있음)
- USB/ISDN 카드
따라서 안전을 확보하기 위한 가장 쉬운 방법은 핫 스와핑 및/또는 자동 모듈 로딩을 비활성화하는 것입니다. 이는 임베디드 시스템에서는 쉬울 것입니다.
그 외에도 업데이트가 무엇을 하는지 확신할 수 없습니다. 대부분의 CVE는 새로운 기능을 제공하는 새로운 모듈을 중심으로 이루어집니다.
GLibC는 심각한 보안 문제를 안고 있는 또 다른 후보입니다. 따라서 임베디드 시스템이 셸을 허용한다면 조만간 공격자가 루트가 될 것입니다.