USN-8547-1: исправлены уязвимости в ядре Linux
Описание уязвимостей
В ядре Linux обнаружены несколько уязвимостей, которые могут быть использованы злоумышленниками для компрометации системы. Уязвимости затрагивают следующие подсистемы:
- Архитектура RISC-V;
- Сетевые драйверы STMicroelectronics;
- Платформенные драйверы x86;
- Инфраструктура файловых систем;
- Демон сервера сетевой файловой системы (NFS);
- Сетевая файловая система SMB;
- Инфраструктура трассировки;
- Протокол B.A.T.M.A.N. meshing;
- Подсистема Bluetooth;
- Сеансовые сокеты RxRPC;
- ALSA-драйверы AMD SoC.
Затрагиваемые системы
Обновления доступны для следующих версий ядра Linux:
linux-gcp-5.15— ядро Linux для систем Google Cloud Platform (GCP);linux-intel-iotg-5.15— ядро Linux для платформ Intel IoT.
Подготовка к обновлению
Перед обновлением системы рекомендуется:
- Создать резервную копию важных данных;
- Определить окно обслуживания, чтобы минимизировать влияние на работу системы;
- Проверить совместимость сторонних модулей ядра с новой версией.
Для проверки текущей версии ядра выполните команду:
uname -r
Если версия ядра соответствует одной из указанных выше, необходимо применить обновление.
Обновление системы
Для обновления системы выполните следующие команды:
sudo apt update && sudo apt upgrade -y
После завершения обновления перезагрузите систему:
sudo reboot
Проверка успешности обновления
Для проверки успешности обновления выполните команду:
uname -r
Убедитесь, что версия ядра соответствует последней доступной версии. Если версия не изменилась, проверьте наличие ошибок в процессе обновления и повторите попытку.
Ограничения и откат
Если после обновления возникли проблемы с совместимостью сторонних модулей ядра, возможно потребуется:
- Перекомпилировать модули для новой версии ядра;
- Временно вернуться к предыдущей версии ядра, если перекомпиляция невозможна.
Для отката к предыдущей версии ядра выполните следующие шаги:
- Удалите текущую версию ядра;
- Восстановите предыдущую версию из резервной копии или через менеджер пакетов;
- Перезагрузите систему.
Если у вас установлены сторонние модули ядра, убедитесь, что они совместимы с новой версией ядра. В противном случае может потребоваться их перекомпиляция и повторная установка.
Дополнительные меры предосторожности
При обновлении ядра на системах с высокой доступностью рекомендуется:
- Провести тестирование обновления в изолированной среде перед применением на производственных серверах;
- Использовать механизмы отката, такие как Snapshots или LVM, для быстрого восстановления в случае неудачи;
- Мониторить систему после обновления для выявления потенциальных проблем.
Для систем с критическими нагрузками рассмотрите возможность использования Livepatch для применения исправлений без перезагрузки:
sudo canonical-livepatch enable [ваш-токен]
Проверка совместимости модулей
Для проверки совместимости сторонних модулей ядра выполните следующие действия:
- Создайте список установленных модулей:
ls /lib/modules/$(uname -r)/kernel/drivers/ | grep -v .ko$
- Проверьте наличие обновлённых версий модулей для новой версии ядра;
- Перекомпилируйте модули при необходимости, следуя документации разработчиков.
Для систем с виртуализацией убедитесь, что гипервизор и гостевые системы также обновлены до совместимых версий ядра.