Системный журнал — практичная база знаний по VPS и Linux
Системный журнал Системный журнал
fips • Linux • security update • Ubuntu • Ядро Linux

USN-8492-5: уязвимости в ядре Linux (FIPS) и рекомендации по исправлению

4 мин чтения

Описание уязвимостей

В ядре Linux с поддержкой FIPS обнаружены несколько уязвимостей, которые могут быть использованы злоумышленниками для компрометации системы. Обновление USN-8492-5 исправляет проблемы в следующих подсистемах:

  • Драйвер блокового устройства RNBD;
  • Пользовательский драйвер блока Ublk;
  • Фреймворк и драйверы тактового сигнала;
  • Фреймворк управления бездействием CPU;
  • Драйверы аппаратного криптографического устройства;
  • Драйверы мониторинга оборудования;
  • Многофункциональные драйверы устройств;
  • Драйвер ускорителя Broadcom VK;
  • Драйверы MOST (Media Oriented Systems Transport);
  • Блоковые драйверы MTD;
  • Сетевые драйверы Mellanox;
  • Сетевые драйверы STMicroelectronics;
  • Драйверы мониторинга производительности;
  • Подсистема контроллеров штифтов;
  • RAS (Надежность, Доступность, Обслуживание) подсистема;
  • Удаленная подсистема процессора;
  • Драйверы SoC Texas Instruments;
  • Драйверы стадии освещения Greybus;
  • Сетевые драйверы Realtek RTL8723BS SDIO;
  • Подсистема VHOST (Virtual Host);
  • Инфраструктура файловых систем;
  • Распределенная файловая система Ceph;
  • Серверный демон сетевой файловой системы NFS;
  • Инфраструктура планировщика;
  • Протокол сети файловых систем 9P;
  • Подсистема Asynchronous Transfer Mode (ATM);
  • Протокол B.A.T.M.A.N. meshing;
  • Драйвер сокетов KCM (Kernel Connection Multiplexor);
  • Модуль безопасности AppArmor;
  • Симплифицированный фреймворк ядра обязательного контроля доступа.

Кого касается обновление

Обновление затрагивает системы, использующие пакеты:

  • linux-azure-fips — ядро Linux для облачных систем Microsoft Azure с поддержкой FIPS;
  • linux-fips — ядро Linux с поддержкой FIPS.

Если ваша система использует одно из этих ядер, рекомендуется как можно скорее применить обновление. Особенно важно это для серверов и систем, обрабатывающих конфиденциальные данные, так как уязвимости могут быть использованы для компрометации системы.

Подготовка к обновлению

Перед применением обновления необходимо выполнить несколько подготовительных шагов:

  • Создайте резервную копию важных данных и конфигураций;
  • Определите окно обслуживания, чтобы минимизировать влияние на рабочие процессы;
  • Убедитесь, что у вас есть доступ к документации и поддержке в случае возникновения проблем.

Как проверить текущую версию ядра

Перед применением обновления убедитесь, что ваша система действительно использует уязвимое ядро. Для этого выполните следующую команду:

uname -r

Если вывод команды содержит -fips, значит, ваше ядро подвержено уязвимостям.

Как обновить систему

Для обновления системы выполните следующие шаги:

  1. Обновите список пакетов:
    sudo apt update
    
  2. Установите доступные обновления:
    sudo apt upgrade
    
  3. Если обновление ядра требует перезагрузки, выполните команду:
    sudo reboot
    

Внимание: изменение ABI

Из-за неизбежных изменений ABI обновления ядра получили новый номер версии. Это требует перекомпиляции и повторной установки всех сторонних модулей ядра, которые могут быть установлены на вашей системе.

Если вы вручную не удалили стандартные метапакеты ядра (например, linux-generic, linux-generic-lts-RELEASE, linux-virtual, linux-powerpc), стандартное обновление системы автоматически выполнит это действие.

Как проверить успешность обновления

После перезагрузки системы убедитесь, что она использует исправленную версию ядра. Для этого снова выполните команду:

uname -r

Убедитесь, что вывод команды соответствует версии ядра из обновления.

Дополнительные меры безопасности

Для повышения уровня безопасности вашей системы рассмотрите возможность использования Ubuntu Pro, который предоставляет десятилетнюю поддержку безопасности для 25,000+ пакетов в репозиториях Main и Universe. Ubuntu Pro бесплатен для до пяти машин.

Проверка установленных модулей ядра

Если на вашей системе установлены сторонние модули ядра, убедитесь, что они совместимы с новой версией ядра. Для этого выполните следующую команду:

ls /lib/modules/$(uname -r)/extra/

Если вывод команды не пуст, вам необходимо перекомпилировать и установить эти модули для новой версии ядра.

Проверка работоспособности системы

После обновления и перезагрузки системы убедитесь в ее стабильной работе. Проверьте критические сервисы и приложения, чтобы убедиться, что они работают корректно.

Ограничения и типичные ошибки

При обновлении ядра могут возникнуть следующие проблемы:

  • Несовместимость сторонних модулей ядра с новой версией;
  • Проблемы с загрузкой системы после обновления;
  • Сбои в работе критичных сервисов.

Для минимизации рисков рекомендуется:

  • Тестировать обновление на тестовой среде перед применением на производственной системе;
  • Иметь план отката в случае возникновения проблем;
  • Мониторить систему после обновления для своевременного выявления и устранения возможных проблем.

Заключение

Обновление USN-8492-5 исправляет несколько уязвимостей в ядре Linux с поддержкой FIPS. Следуйте рекомендациям по обновлению и проверке системы, чтобы минимизировать риски безопасности.