私はXenサーバーでDebian jessieを使用していますが、この問題は心配です。CVE-2016-10229:
4.5より前のLinuxカーネルのudp.cを使用すると、リモート攻撃者はUDPトラフィックを介してランダムなコードを実行でき、MSG_PEEKフラグを使用してrecvシステムコール中に安全でない2番目のチェックサム計算をトリガーできます。
私のサーバーと仮想マシンで問題が解決したかどうかを確認したいと思います。
Dom0から:
$ uname -a
Linux xen-eclabs 4.5.0-1-amd64 #1 SMP Debian 4.5.1-1 (2016-04-14) x86_64 GNU/Linux
$ dpkg -l |grep linux-
ii linux-base 3.5 all Linux image base package
ii linux-image-3.16.0-4-amd64 3.16.39-1+deb8u2 amd64 Linux 3.16 for 64-bit PCs
ii linux-image-4.3.0-1-amd64 4.3.3-7 amd64 Linux 4.3 for 64-bit PCs
ii linux-image-4.5.0-1-amd64 4.5.1-1 amd64 Linux 4.5 for 64-bit PCs
ii linux-image-amd64 3.16+63 amd64 Linux for 64-bit PCs (meta-package)
ii xen-linux-system-4.3.0-1-amd64 4.3.3-7 amd64 Xen system with Linux 4.3 on 64-bit PCs (meta-package)
ii xen-linux-system-4.5.0-1-amd64 4.5.1-1 amd64 Xen system with Linux 4.5 on 64-bit PCs (meta-package)
ii xen-linux-system-amd64 4.5+72 amd64 Xen system with Linux for 64-bit PCs (meta-package)
ウェブサイトは、jessie 3.16.39-1の「linux」というパッケージで修正されていることを示しています。
ところで、「linux」はどんなパッケージですか?単に「linux」と呼ばれるパッケージをインストールしていませんか?
この接続をどのように理解していますか?
ベストアンサー1
2つのXEN Linux対応カーネルバージョン4.3.3-7と4.5.1-1と、一般的な非XENプロダクションカーネル3.16.0-4、4.3.3-7、4.5.1-1をインストールしました。
amd64(64ビットPC)用の一般的なカーネルパッケージはlinux-image*-amd64
、XEN対応カーネルパッケージはですxen-linux-system*-amd64
。
マニフェストに応じて、対応するXENパッケージは次のとおりです。
xen-linux-system-4.3.0-1-amd64, 4.3.3-7
xen-linux-system-4.5.0-1-amd64, 4.5.1-1
出力結果によると、uname
バージョン4.5が有効になっていることがわかりました。これは脆弱ではないことを意味します。
ただし、カーネルログにはv4.5-rc1で修正されたものが表示されますが、Debianログに3.16.39-1のみが脆弱であるとマークされている場合は、修正が以前のバージョンのソースコードでバックポートされたことを意味します。過去にそうしてください。
それにもかかわらず、次のコマンドを使用していつでも古いカーネルバージョンを削除できます。
sudo dpkg --purge xen-linux-system-4.3.0-1-amd64