USN-8545-1: Исправлены уязвимости ядра Linux (HWE) в Ubuntu
Команда безопасности Ubuntu выпустила исправление USN-8545-1 для ядра Linux (HWE), закрывающее несколько уязвимостей, которые могли бы позволить злоумышленникам компрометировать систему.
Задетые подсистемы
Обновление затрагивает следующие компоненты ядра:
- Подсистема блоков;
- DMA engine subsystem;
- Сетевые драйверы STMicroelectronics;
- Инфраструктура файловых систем;
- NFS-сервер;
- SMB-файловая система;
- Помощник ядерных потоков (kthread);
- Инфраструктура трассировки;
- Системный вызов exit();
- Протокол B.A.T.M.A.N. meshing;
- RxRPC-сеансовые сокеты.
Кто подвержен риску
Уязвимости могут затрагивать системы, использующие ядро Linux HWE версии 6.17. Это включает серверы, рабочие станции и виртуальные машины с установленным пакетом linux-hwe-6.17.
Проверка текущей версии ядра и подготовка к обновлению
Перед обновлением необходимо выполнить несколько шагов для минимизации рисков:
Проверка текущей версии ядра
Убедитесь, что система использует уязвимую версию ядра:
uname -r
Если вывод содержит 6.17, необходимо проверить наличие исправлений.
Проверка активного ядра
Убедитесь, что система загружена с уязвимого ядра:
cat /proc/cmdline
В выводе должен быть указан образ ядра, содержащий 6.17.
Создание резервной копии конфигурации и данных
Перед обновлением рекомендуется создать резервную копию важных данных и конфигураций:
sudo tar -czvf backup_$(date +%F).tar.gz /etc /var/lib/dpkg/info/
Определение окна обслуживания
Выберите время для обновления, когда нагрузка на систему минимальна. Это поможет избежать неожиданных проблем при перезагрузке.
Обновление системы и проверка результата
Для применения исправления выполните обновление пакетов:
sudo apt update && sudo apt upgrade
После обновления требуется перезагрузка системы для активации изменений.
Проверка успешного обновления
После перезагрузки убедитесь, что система использует исправленное ядро:
uname -r
Также можно проверить версии установленных пакетов:
apt list --installed | grep linux-hwe-6.17
Проверка работоспособности системы
После обновления рекомендуется проверить основные функции системы, особенно если были установлены сторонние модули ядра.
Внимание: ABI-изменения и перекомпиляция модулей
Из-за неизбежных изменений ABI обновление ядра получило новый номер версии. Это требует перекомпиляции и повторной установки всех сторонних модулей ядра, если они были установлены вручную.
Типичные ошибки при обновлении
При обновлении могут возникнуть следующие проблемы:
- Несовместимость сторонних модулей ядра;
- Проблемы с загрузкой системы после обновления;
- Сбои в работе сетевых сервисов.
Для решения этих проблем может потребоваться откат к предыдущей версии ядра или перекомпиляция модулей.
Откат обновления
Если после обновления возникли проблемы, можно попробовать откатить изменения:
sudo apt install linux-hwe-6.17=6.17.xx-xx
Замените xx на номер версии пакета до обновления.
Дополнительные меры безопасности
Для повышения уровня защиты рекомендуется рассмотреть возможность использования Ubuntu Pro, который предоставляет десятилетнюю поддержку безопасности для более чем 25 000 пакетов в репозиториях Main и Universe.