Underpass ha scritto:Ciao, ma quindi alla fine la situazione a oggi 18/01/2017 sui tre rami di Debian qual è?
Per le release in cui gli aggiornamenti di sicurezza del kernel sono stati forniti nei repository Debian al momento solo come codice sorgente, per poter disporre di un kernel con patch, è necessario scaricaricare, ricompilare i pacchetti del codice sorgente aggiornato del kernel (per i diversi rami Debian) con le patch per meltdown/spectre ed installare i pacchetti ricompilati.
Ad esempio, nel caso di
Debian Jessie (linux-source-3.16), dopo aver opportunamente configurato il gestore di pacchetti a riconoscere il repository "security" per il codice sorgente ed aver escluso dalla configurazione eventuali altri repository con pacchetti del kernel con versioni superiori a quelle con patch (ad esempio, il repository backports),
si possono impartire i seguenti comandi come utente root per scaricare, compilare, creare ed installare i pacchetti Debian del kernel con le patch attualmente disponibili:
- Codice: Seleziona tutto
script log.txt
mkdir linux-source
cd linux-source
apt-get update
apt-get upgrade
apt-get source linux-source-3.16
apt-get build-dep linux-source-3.16
A questo punto, come utente ordinari, si possono ricompilare i codici sorgenti del kernel:
- Codice: Seleziona tutto
cd linux-3.16.51/
debuild -b -uc -us
A questo punto, come utente root è possibile installare i pacchetti creati con la nuova versione del kernel:
- Codice: Seleziona tutto
cd ..
dpkg -i *.deb
Eseguendo il controllo con lo script presente nel
pacchetto segnalato da s3v nel messaggio precedente,
prima dell'aggiornamento del kernel risulta, ad esempio, su una installazione di Debian Jessie (aggiornata con i consueti repository) potenzialmente non protetto per le tre principali vulnerabilità:
- Codice: Seleziona tutto
$ su -c "./spectre-meltdown-checker.sh "
Password:
Spectre and Meltdown mitigation detection tool v0.31
Checking for vulnerabilities against running kernel Linux 3.16.0-4-amd64 #1 SMP Debian 3.16.51-3 (2017-12-13) x86_64
CPU is Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become available)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation
* The SPEC_CTRL MSR is available: NO
* The SPEC_CTRL CPUID feature bit is set: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): NO
* PTI enabled and active: NO
* Checking if we're running under Xen PV (64 bits): NO
> STATUS: VULNERABLE (PTI is needed to mitigate the vulnerability)
... continua nel messaggio successivo...