Системный журнал — практичная база знаний по VPS и Linux
Системный журнал Системный журнал
Ubuntu • Безопасность • Ядро Linux

USN-8547-1: исправлены уязвимости в ядре Linux

3 мин чтения

Описание уязвимостей

В ядре Linux обнаружены несколько уязвимостей, которые могут быть использованы злоумышленниками для компрометации системы. Уязвимости затрагивают следующие подсистемы:

  • Архитектура RISC-V;
  • Сетевые драйверы STMicroelectronics;
  • Платформенные драйверы x86;
  • Инфраструктура файловых систем;
  • Демон сервера сетевой файловой системы (NFS);
  • Сетевая файловая система SMB;
  • Инфраструктура трассировки;
  • Протокол B.A.T.M.A.N. meshing;
  • Подсистема Bluetooth;
  • Сеансовые сокеты RxRPC;
  • ALSA-драйверы AMD SoC.

Затрагиваемые системы

Обновления доступны для следующих версий ядра Linux:

  • linux-gcp-5.15 — ядро Linux для систем Google Cloud Platform (GCP);
  • linux-intel-iotg-5.15 — ядро Linux для платформ Intel IoT.

Подготовка к обновлению

Перед обновлением системы рекомендуется:

  • Создать резервную копию важных данных;
  • Определить окно обслуживания, чтобы минимизировать влияние на работу системы;
  • Проверить совместимость сторонних модулей ядра с новой версией.

Для проверки текущей версии ядра выполните команду:

uname -r

Если версия ядра соответствует одной из указанных выше, необходимо применить обновление.

Обновление системы

Для обновления системы выполните следующие команды:

sudo apt update && sudo apt upgrade -y

После завершения обновления перезагрузите систему:

sudo reboot

Проверка успешности обновления

Для проверки успешности обновления выполните команду:

uname -r

Убедитесь, что версия ядра соответствует последней доступной версии. Если версия не изменилась, проверьте наличие ошибок в процессе обновления и повторите попытку.

Ограничения и откат

Если после обновления возникли проблемы с совместимостью сторонних модулей ядра, возможно потребуется:

  • Перекомпилировать модули для новой версии ядра;
  • Временно вернуться к предыдущей версии ядра, если перекомпиляция невозможна.

Для отката к предыдущей версии ядра выполните следующие шаги:

  • Удалите текущую версию ядра;
  • Восстановите предыдущую версию из резервной копии или через менеджер пакетов;
  • Перезагрузите систему.

Если у вас установлены сторонние модули ядра, убедитесь, что они совместимы с новой версией ядра. В противном случае может потребоваться их перекомпиляция и повторная установка.

Дополнительные меры предосторожности

При обновлении ядра на системах с высокой доступностью рекомендуется:

  • Провести тестирование обновления в изолированной среде перед применением на производственных серверах;
  • Использовать механизмы отката, такие как Snapshots или LVM, для быстрого восстановления в случае неудачи;
  • Мониторить систему после обновления для выявления потенциальных проблем.

Для систем с критическими нагрузками рассмотрите возможность использования Livepatch для применения исправлений без перезагрузки:

sudo canonical-livepatch enable [ваш-токен]

Проверка совместимости модулей

Для проверки совместимости сторонних модулей ядра выполните следующие действия:

  • Создайте список установленных модулей:
ls /lib/modules/$(uname -r)/kernel/drivers/ | grep -v .ko$
  • Проверьте наличие обновлённых версий модулей для новой версии ядра;
  • Перекомпилируйте модули при необходимости, следуя документации разработчиков.

Для систем с виртуализацией убедитесь, что гипервизор и гостевые системы также обновлены до совместимых версий ядра.