USN-8492-5: уязвимости в ядре Linux (FIPS) и рекомендации по исправлению
Описание уязвимостей
В ядре Linux с поддержкой FIPS обнаружены несколько уязвимостей, которые могут быть использованы злоумышленниками для компрометации системы. Обновление USN-8492-5 исправляет проблемы в следующих подсистемах:
- Драйвер блокового устройства RNBD;
- Пользовательский драйвер блока Ublk;
- Фреймворк и драйверы тактового сигнала;
- Фреймворк управления бездействием CPU;
- Драйверы аппаратного криптографического устройства;
- Драйверы мониторинга оборудования;
- Многофункциональные драйверы устройств;
- Драйвер ускорителя Broadcom VK;
- Драйверы MOST (Media Oriented Systems Transport);
- Блоковые драйверы MTD;
- Сетевые драйверы Mellanox;
- Сетевые драйверы STMicroelectronics;
- Драйверы мониторинга производительности;
- Подсистема контроллеров штифтов;
- RAS (Надежность, Доступность, Обслуживание) подсистема;
- Удаленная подсистема процессора;
- Драйверы SoC Texas Instruments;
- Драйверы стадии освещения Greybus;
- Сетевые драйверы Realtek RTL8723BS SDIO;
- Подсистема VHOST (Virtual Host);
- Инфраструктура файловых систем;
- Распределенная файловая система Ceph;
- Серверный демон сетевой файловой системы NFS;
- Инфраструктура планировщика;
- Протокол сети файловых систем 9P;
- Подсистема Asynchronous Transfer Mode (ATM);
- Протокол B.A.T.M.A.N. meshing;
- Драйвер сокетов KCM (Kernel Connection Multiplexor);
- Модуль безопасности AppArmor;
- Симплифицированный фреймворк ядра обязательного контроля доступа.
Кого касается обновление
Обновление затрагивает системы, использующие пакеты:
linux-azure-fips— ядро Linux для облачных систем Microsoft Azure с поддержкой FIPS;linux-fips— ядро Linux с поддержкой FIPS.
Если ваша система использует одно из этих ядер, рекомендуется как можно скорее применить обновление. Особенно важно это для серверов и систем, обрабатывающих конфиденциальные данные, так как уязвимости могут быть использованы для компрометации системы.
Подготовка к обновлению
Перед применением обновления необходимо выполнить несколько подготовительных шагов:
- Создайте резервную копию важных данных и конфигураций;
- Определите окно обслуживания, чтобы минимизировать влияние на рабочие процессы;
- Убедитесь, что у вас есть доступ к документации и поддержке в случае возникновения проблем.
Как проверить текущую версию ядра
Перед применением обновления убедитесь, что ваша система действительно использует уязвимое ядро. Для этого выполните следующую команду:
uname -r
Если вывод команды содержит -fips, значит, ваше ядро подвержено уязвимостям.
Как обновить систему
Для обновления системы выполните следующие шаги:
- Обновите список пакетов:
sudo apt update - Установите доступные обновления:
sudo apt upgrade - Если обновление ядра требует перезагрузки, выполните команду:
sudo reboot
Внимание: изменение ABI
Из-за неизбежных изменений ABI обновления ядра получили новый номер версии. Это требует перекомпиляции и повторной установки всех сторонних модулей ядра, которые могут быть установлены на вашей системе.
Если вы вручную не удалили стандартные метапакеты ядра (например, linux-generic, linux-generic-lts-RELEASE, linux-virtual, linux-powerpc), стандартное обновление системы автоматически выполнит это действие.
Как проверить успешность обновления
После перезагрузки системы убедитесь, что она использует исправленную версию ядра. Для этого снова выполните команду:
uname -r
Убедитесь, что вывод команды соответствует версии ядра из обновления.
Дополнительные меры безопасности
Для повышения уровня безопасности вашей системы рассмотрите возможность использования Ubuntu Pro, который предоставляет десятилетнюю поддержку безопасности для 25,000+ пакетов в репозиториях Main и Universe. Ubuntu Pro бесплатен для до пяти машин.
Проверка установленных модулей ядра
Если на вашей системе установлены сторонние модули ядра, убедитесь, что они совместимы с новой версией ядра. Для этого выполните следующую команду:
ls /lib/modules/$(uname -r)/extra/
Если вывод команды не пуст, вам необходимо перекомпилировать и установить эти модули для новой версии ядра.
Проверка работоспособности системы
После обновления и перезагрузки системы убедитесь в ее стабильной работе. Проверьте критические сервисы и приложения, чтобы убедиться, что они работают корректно.
Ограничения и типичные ошибки
При обновлении ядра могут возникнуть следующие проблемы:
- Несовместимость сторонних модулей ядра с новой версией;
- Проблемы с загрузкой системы после обновления;
- Сбои в работе критичных сервисов.
Для минимизации рисков рекомендуется:
- Тестировать обновление на тестовой среде перед применением на производственной системе;
- Иметь план отката в случае возникновения проблем;
- Мониторить систему после обновления для своевременного выявления и устранения возможных проблем.
Заключение
Обновление USN-8492-5 исправляет несколько уязвимостей в ядре Linux с поддержкой FIPS. Следуйте рекомендациям по обновлению и проверке системы, чтобы минимизировать риски безопасности.