Meltdown / Spectre Kernelupdate für Ubuntu 12.04


#1

Hallo,

weiß jmd. ob bzw. wann die Kernelpatches für Ubuntu 12.04 kommen?

vG Stephan


#2

Hallo,

weiß jmd. ob bzw. wann die Kernelpatches für Ubuntu 12.04 kommen?

es gibt diese, wenn man im kostenpflichtigen Canonical Support ist
(Advantage Licence) (was wir nicht sind).

Ob und wann der von uns beauftragte Entwickler gepatchte Kernel für uns
bereit stellt, weiß ich noch nicht.

Viele Grüeß

Holger


#3

Hallo Holger,

danke für deine Antwort. Dann warten wir mal ab…

vG


#4

Moin!

Kann nicht mehr lange dauern. Nur zur Beruhigung, letzter Absatz!


CERT-Bund Meldung

KURZINFO CB-K18/0054 UPDATE 1
Titel: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a.
das Ausspähen von Informationen
Datum: 10.01.2018
Software: Linux-Kernel
Plattform: Canonical Ubuntu Linux 12.04 LTS (ESM), Canonical
Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04
LTS, Canonical Ubuntu Linux 17.10
Auswirkung: Ausspähen von Informationen
Remoteangriff: Nein
Risiko: niedrig
CVE Liste: CVE-2017-16995, CVE-2017-17862, CVE-2017-17863,
CVE-2017-17864, CVE-2017-5754
Bezug: http://www.ubuntu.com/usn/usn-3523-1/

REVISIONS HISTORIE
Version: 2
Für Ubuntu 17.10 steht ein Sicherheitsupdate für den Linux-Kernel for
Raspberry Pi 2 bereit, welches alle Schwachstellen bis auf
CVE-2017-5754 (Meltdown) adressiert. Für Ubuntu 16.04 LTS stehen
Sicherheitsupdates zur Verfügung, welche alle Schwachstellen
adressieren, für die folgenden Linux-Kernel zur Verfügung:
Microsoft Azure Cloud Systems, Google Cloud Platform (GCP),
Hardware Enablement (HWE) Kernel sowie für OEM Prozessoren.

Version: 1
Neues Advisory

BESCHREIBUNG
Linux ist ein Betriebssystemkern. Er wird in einer Vielzahl von
Distributionen und Betriebssystemen verwendet.

Die Schwachstelle CVE-2017-5754 - bekannt unter dem Namen 'Meltdown' -
ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausspähen
von Informationen aus dem Kernelspeicher und darüber weitere Angriffe.
Diese Schwachstelle betrifft Ubuntu Linux 17.10, Ubuntu Linux 16.04 LTS,
Ubuntu Linux 14.04 LTS und Ubuntu 12.04 LTS (ESM). Weitere
Schwachstellen, die nur für den Linux-Kernel in Ubuntu 17.10 aufgeführt
werden, ermöglichen dem Angreifer die Ausführung beliebigen Programmcodes
mit den Rechten des Systems bzw. einem lokalen, einfach authentisierten
Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen und
möglicherweise weiterer nicht spezifizierter Angriffe sowie ebenfalls das
Ausspähen sensibler Adressinformationen.

Canonical stellt eine Reihe von Sicherheitsupdates für die Distributionen
Ubuntu 17.10 (Linux-Kernel), Ubuntu 16.04 LTS (Linux-Kernel, Linux-Kernel
for Amazon Web Services (AWS) Systems, Linux-Kernel for Intel Euclid
Systems, Linux-Kernel for Cloud Environments), Ubuntu 14.04 LTS
(Linux-Kernel, Linux-Kernel for Amazon Web Services (AWS) Systems, Linux
Hardware Enablement Kernel from Xenial for Trusty) und Ubuntu 12.04 LTS
(Linux-Kernel, Linux Hardware Enablement Kernel from Trusty for Precise
ESM) zur Verfügung. Betroffene Systeme müssen nach Installation der
Updates neu gestartet werden.

#5

Moin!

Seit gestern ist der LTS-Kernel 3.16.53 veröffentlicht, der die Patches für Kernel Page Table Isolation (vormals KAISER) enthält (s. https://github.com/hannob/meltdownspectre-patches).
Damit soll eine “Minderung” (mitigation) der Folgen von Spectre und Meltdown erreicht werden.

Im babo62-testing-Repo ist dazu jetzt ein neues Kernel-Paket verfügbar. Installiert man das Meta-Paket linux-current-lmn62
apt-get install linux-current-lmn62
werden die Kernel-Image- und Header-Pakete

  • linux-image-3.16.53_3.16.53~lmn62+1_amd64.deb
  • linux-headers-3.16.53_3.16.53~lmn62+1_amd64.deb
    automatisch mit installiert.
    Nach einem Reboot ist der neue Kernel aktiv.

Bitte testen!

Viele Grüße
Thomas


#6
Entpacken von linux-current-lmn62 (aus .../linux-current-lmn62_3.16.53~lmn62+1_amd64.deb) ...
linux-image-3.16.53 (3.16.53~lmn62+1) wird eingerichtet ...

 Hmm. There is a symbolic link /lib/modules/3.16.53/build
 However, I can not read it: Datei oder Verzeichnis nicht gefunden
 Therefore, I am deleting /lib/modules/3.16.53/build


 Hmm. The package shipped with a symbolic link /lib/modules/3.16.53/source
 However, I can not read the target: Datei oder Verzeichnis nicht gefunden
 Therefore, I am deleting /lib/modules/3.16.53/source

Running depmod.
Examining /etc/kernel/postinst.d.

das ist so weit ich mich erinnere bei normalen Kernelupdates nicht gekommen…

ist das relevant?

VG, Tobias


#7

Hi,

also hier läuft der neue Kernel ohne Probleme produktiv (Server unter
KVM-Virtualisierung). Evtl. kann ja mal jemand etwaige
Performanz-Verschlechterungen abtesten?

VG, Thomas


#8

Hallo Thomas,

also hier läuft der neue Kernel ohne Probleme produktiv (Server unter
KVM-Virtualisierung). Evtl. kann ja mal jemand etwaige
Performanz-Verschlechterungen abtesten?

kann ich nicht: ich habe einen AMD Prozessor :slight_smile:

LG

Holger


#9

Hallo,

Kernel läuft hier ca. 24h …bis jetzt keine Probleme!

Gruß

Dominik


#10

Hi @thomas,

ich habe den server auf dem Blech und KVM darauf und bonding und vlans mit subnetting.
Irgendwas davon tat nicht mehr mit dem neuen kernel, so dass irgendeine virtuelle Netzwerkgeschichte nicht mehr funktionierte.
Ich habe nicht probiert, ob das, was fehlt durch ein modul mit modprobe hinzuzufügen war.
jedenfalls fuhr KVM mit entsprechenden Interfaces nicht mehr hoch.
Die ganze “vnetX” devices waren es, glaube ich.
Bei Gelegenheit boote ich den neuen Kernel nochmal, aber vllt. weißt du auch schon, welches Feature hier im Kernel fehlt.

VG, Tobias


#11

Hallo Tobias,


#12

Hi,

genau diese Konstellation habe ich auch…kvm (via Proxmox), vlans, bonding.

Bei mir tut alles. Wechsle doch ggf. mal die virtuelle Netzwerkkarte im
lmn-Server auf ein anderes Modell…oder versuche es mit der
paravirtualisierten Karte…die habe ich und das klappt.

Viele Grüße

Dominik


#13

Hallo Dominik,

genau diese Konstellation habe ich auch…kvm (via Proxmox), vlans, bonding.

… nein, hast du nicht :slight_smile:
Man muss bei Tobias Mail genau hinschauen: er hat die lml auf dem Blech,
und darauf aufsetzend KVM und all die anderen Dinge.
Er hat nicht einen Virtualisierer unter der lml sondern die lml ist sein
virtualisierer.
Und in dem Setting gibt es Probleme… dürfte also wahrscheinlich außer
Tobias … niemand betreffen (sorry Tobias :slight_smile: ).

LG

Holger


#14

Hallo Tobias,

Discourse mag es anscheinend nicht, wenn man unter dem Zitat antwortet.

Eigentlich sollte im neuen Kernel nichts fehlen, da er genauso
konfiguriert ist wie der alte.
Ein Vergleich der Ausgaben von “lsmod” mit neuem und altem Kernel wäre
hilfreich.

VG, Thomas


#15

Hallo Thomas, hallo Holger,

und deswegen kein weiterer Ressourcenverbrauch: ich hab den neuen kernel deinstalliert.
Vorher hab ich lsmod verglichen: nichts weltbewegendes. Auf dem neuen kernel gibt es nur ein vnet0, während es auf dem alten Kernel so ähnlich viele vnetX gibt, wie ich VMs laufen habe.

Ich habe halt auch keine Doku gefunden, wie ich weitere vnet1, vnet2 etc. von Hand anlege.

Alle, die die lmn virtualisieren, können den neuen kernel vermutlich ohne probleme testen und im notfall (so wie ich ) per “previous linux versions” in grub den alten kernel booten.
D.h. nur für die mit lmn auf dem blech wäre es mehr aufwand, wenn nicht mehr alles täte wie es tat. Da ich aber in testing der einzige mit einem spezifischen Problem bin - kann das wohl nach babo62 raus, oder?

Vg, Tobias

p.s. fazit: ich steige mit lmn 7 auch auf virtualisierung des servers um. Es ist ja kein “jonny” da, der mich anderweitig überzeugen könnte… schade