Компания Oracle ввела в строй (https://blogs.oracle.com/ksplice/entry/ksplice_inspector) сервис Ksplice Inspector (https://www.ksplice.com/inspector), позволяющий ввести параметры текущего ядра Linux и получить информацию о наличии актуальных для данного ядра обновлений с устранением уязвимостей. Поддерживаются ядра Linux, поставляемые различными дистрибутивами, в том числе RHEL, Oracle Linux, CentOS, Fedora и Ubuntu. Для определения наличия неустранённых уязвимостей используется независимая от дистрибутивов база Oracle, накапливаемая в процессе работы сервиса Ksplice, позволяющего устанавливать обновления для ядра без перезапуска системы.Сервис доступен не только через web-интерфес, но и через внешний API (https://www.ksplice.com/uptrack/api), позволяющий выполнять проверку из консоли:
<font color="#461b7e">
$ (uname -s; uname -m; uname -r; uname -v) | \
curl https://uptrack.api.ksplice.com/api/1/update-list/ \
-L -H "Accept: text/text" --data-binary @-
</font><font color="#7e7e7e">
Your kernel needs the following updates:
CVE-2013-0268: /dev/cpu/*/msr local privilege escalation.
CVE-2013-1773: Heap buffer overflow in VFAT Unicode handling.
</font>URL: https://blogs.oracle.com/ksplice/entry/ksplice_inspector
Новость: https://www.opennet.ru/opennews/art.shtml?num=36565
все же Oracle не такая злорадствующая как MS
кинули косточку, и ты готов служить?
вдуть
"You are running a proposed kernel from Debian Wheezy. Ksplice Uptrack
for Debian does not yet support Debian Wheezy."беда-пичаль
Для убунты у них тоже заготовлено забавных отлупов:You are running an unofficial kernel from the "mainline" PPA:
<http://kernel.ubuntu.com/~kernel-ppa/mainline>. &nbs...
Uptrack does not support these unofficial Ubuntu kernels.
Во FreeBSD пишет "Could not find kernel" :-)
хоть не написало "CPU not found"? ;-)
значит по мнению Компании Oracle у FreeBSD нет ядра )))))))))))))
у генты тоже нет ядра :(
Не настолько уж они и неправы... :)
Your kernel is up to date.
Хммм...
Реклама ksplice?
под gentoo/genkernel не работает: "Could not find kernel" =^_^=
Kubuntu 12.04. Could not find kernel.
Под Федорой сработало..."Your kernel is up to date."
А я то думал, что федора в новости указана по ошибке, а оно вон как оказывается.
Could not find kernel.
мде... что ж поделать.
У тебя поди ядро не установлено. :D
> мде... что ж поделать.Как что? Установить ядро и попробовать снова.
(uname -s; uname -m; uname -r; uname -v) | \
> curl https://uptrack.api.ksplice.com/api/1/update-list/ \
> -L -H "Accept: text/text" --data-binary @-Your kernel is up to date.
~ $ uname -a
Linux localhost.localdomain 3.8.4-202.fc18.x86_64 #1 SMP Thu Mar 21 17:02:20 UTC 2013 x86_64 x86_64 x86_64 GNU/Linuxпри этом в данный момент качается апдейт с ядром 3.8.5-201
> при этом в данный момент качается апдейт с ядром 3.8.5-201А что, systemd 201 релизнулся? :)
>> при этом в данный момент качается апдейт с ядром 3.8.5-201
> А что, systemd 201 релизнулся? :)Но какая связь?
$ rpm -q kernel systemd
kernel-3.8.3-203.fc18.x86_64
kernel-3.8.4-202.fc18.x86_64
kernel-3.8.5-201.fc18.x86_64
systemd-197-1.fc18.2.x86_64
>>> при этом в данный момент качается апдейт с ядром 3.8.5-201
>> А что, systemd 201 релизнулся? :)
> Но какая связь?
> $ rpm -q kernel systemd
> kernel-3.8.3-203.fc18.x86_64
> kernel-3.8.4-202.fc18.x86_64
> kernel-3.8.5-201.fc18.x86_64
> systemd-197-1.fc18.2.x86_64Это шутка такая: в systemd пихают все подряд и такими темпами ядро тоже запихнут.
Имеется ввиду, что там известных злобных уязвимостей нет. Что не мешает существованию 3.8.5 с улучшениями, не связанными с безопасностью.
Ubuntu Server 12.04.2:
> Could not find kernel.
В списке поддерживаемых ядер нет Ubunt'ы. Только Orcacle и RedHat.
> В списке поддерживаемых ядер нет Ubunt'ы. Только Orcacle и RedHat.ubuntu 12.04 3.2.0-39-generic:
----------------------------------
Your kernel is up to date.ubuntu 12.04 3.2.0-38-generic:
-----------------------------------------
Your kernel needs the following updates:
Denial of service in Xen PVM.
Kernel panic on 802.11 driver unload.
NULL pointer dereference in USB Inside Out Edgeport serial driver.
NULL pointer dereference in ACPI with cpuidle disabled.
Denial-of-service in Extended Verification Module.
Race condition in USB UHCI during initialization.
CVE-2013-0349: Kernel information leak in Bluetooth HIDP support.
Memory leak in CIFS referral mount handling.
Memory leak in ATH9K HTC layer skb allocation.
Memory corruption in ATH9K handling to flush command.
Double free on ATH9K beacon generate failure.
Double free in radeon driver.
CVE-2013-0268: /dev/cpu/*/msr local privilege escalation.
Use-after-free in XFS AIO handling.
CVE-2013-1772: Buffer overflow when writing to /dev/kmsg.
CVE-2013-0217: Denial of server in Xen backend driver.
CVE-2013-0216: Memory leak in Xen net backend driver.
Memory leak in xHCI USB host request handler.
NULL pointer dereference in Bluetooth SMP.
Kernel crash on virtio console removal.
Fix stack overflow in kernel resource allocation.
Off-by-one error in qlogic netxen NIC driver.
Use-after-free in IP loopback transmission handling.
Memory leak in memory mapped AF_PACKET transmission.
SCTP key leak in shared secret key setup.
CVE-2013-0311: Privilege escalation in vhost descriptor management.
Действительно. В графе "Information for free version kernels". Сразу не заметил.
https://www.ksplice.com/uptrack/supported-kernels#
Но все равно ядро 3.5.0-26 не находит.
~$ (uname -s; uname -m; uname -r; uname -v) | curl https://uptrack.api.ksplice.com/api/1/update-list/ -L -H "Accept: text/text" --data-binary @-
Your kernel is up to date.Ubuntu 12.04 LTS
И какую же хитрую выгоду они с этого поимеют?
А, все, нашел:Red Hat Enterprise Linux users can try Ksplice for free for 30 days.
You are running an unofficial kernel from the "mainline" PPA:
<http://kernel.ubuntu.com/~kernel-ppa/mainline>. &nbs...
Uptrack does not support these unofficial Ubuntu kernels.
> You are running an unofficial kernel from the "mainline" PPA:
> <http://kernel.ubuntu.com/~kernel-ppa/mainline>. &nbs...
> Uptrack does not support these unofficial Ubuntu kernels.Увы, не любит оракл авангардистов с -rc ядрами :(
[neo@matrix ~]$ uname -r
2.6.32-279.el6.x86_64
[neo@matrix ~]$ (uname -s; uname -m; uname -r; uname -v) | curl https://uptrack.api.ksplice.com/api/1/update-list/ &nbs... -H "Accept: text/text" --data-binary @-
Your kernel needs the following updates:
ext4 filesystem corruption on fallocate.
CVE-2012-2745: Denial-of-service in kernel key management.
CVE-2012-2744: Remote denial-of-service in IPv6 connection tracking.
Unreliable futexes with read-only shared mappings.
CVE-2011-1078: Information leak in Bluetooth SCO link driver.
CVE-2012-2384: Integer overflow in i915 execution buffer.
Livelock due to invalid locking strategy when adding a leap-second.
Heavy system load in futex handling on leap-second insertion.
CVE-2012-2384: Additional fix for integer overflow in i915 execution buffer.
CVE-2012-2390: Memory leak in hugetlbfs mmap() failure.
CVE-2012-2313: Privilege escalation in the dl2k NIC.
CVE-2012-3430: kernel information leak in RDS sockets.
CVE-2012-3552: Denial-of-service in IP options handling.
CVE-2012-3412: Remote denial of service through TCP MSS option in SFC NIC.
Kernel panic in SUNRPC over TCP.
Use-after-free in USB.
Race condition in SUNRPC.
CVE-2012-3400: Buffer overflow in UDF parsing.
CVE-2012-3511: Use-after-free due to race condition in madvise.
CVE-2012-1568: A predictable base address with shared libraries and ASLR.
CVE-2012-2133: Use-after-free in hugetlbfs quota handling.
CVE-2012-5517: NULL pointer dereference in memory hotplug.
CVE-2012-4444: Prohibit reassembling IPv6 fragments when some data overlaps.
CVE-2012-4565: Divide by zero in TCP congestion control Algorithm.
CVE-2012-2100: Divide-by-zero mounting an ext4 filesystem.
CVE-2012-2375: Kernel crash in NFSv4.
CVE-2012-2375: Kernel crash in NFSv4.
CVE-2012-4461: Kernel panic KVM XSAVE support.
CVE-2012-4530: Kernel information leak in binfmt execution.
CVE-2012-4398: Denial-of-service in kernel module loading.
CVE-2013-0310: NULL pointer dereference in CIPSO socket options.
CVE-2013-0311: Privilege escalation in vhost descriptor management.
CVE-2013-0309: Denial-of-service in transparent huge pages.
CVE-2012-4508: Stale data exposure in ext4.
CVE-2012-4542: SCSI command filter does not restrict access to read-only devices.
CVE-2013-0871: Privilege escalation in PTRACE_SETREGS.
CVE-2013-0268: /dev/cpu/*/msr local privilege escalation.
[neo@matrix ~]$
Линукс явно не из категории поставил и забыл.
Oracle,как бы его не ругали,больше полезен,чем вреден.
> Your kernel needs the following updates:Knock-knock, Neo. The Matrix has you.
> CVE-2011-1078: Information leak in Bluetooth SCO link driver.Где ты был последние два года?
>> CVE-2011-1078: Information leak in Bluetooth SCO link driver.
> Где ты был последние два года?На solaris.
> На solaris.Ну да, хороший выбор для любителя жить в криокамере.
>> На solaris.
> Ну да, хороший выбор для любителя жить в криокамере.Хороший выбор для mission critical серверов:совершенные шедулеры в ядре и отстуствие приведённых выше списков,постоянно меняющихся и не убывающих в размерах.
Ну да, чтобы с обновлением риск бэкдора получить? Спасибо, не нужно. Достаточно штатных средств дистрибутива.
если бы они не только по uname проверяли но еще и по конфигу самосборных ядер,
например ядро достаточно старым мб, но дыр в нем нет,т.к. все что было после него содержит уязвимости в драйверах которые не были собраны, то цены бы им не было; а так там самосбор вообще не поддерживается
> если бы они не только по uname проверяли но еще и по конфигу самосборных ядер,А оно им надо - на каждого велосипедиста дергаться? Такой велосипедист - один на всю планету скорее всего. И, понятное дело, срубить с этого велосипедиста денег чтобы оправдать хотя-бы кодинг фичи - нереально в принципе.
> если бы они не только по uname проверяли но еще и по
> конфигу самосборных ядер,
> например ядро достаточно старым мб, но дыр в нем нет,т.к. все что
> было после него содержит уязвимости в драйверах которые не были собраны,
> то цены бы им не было; а так там самосбор вообще
> не поддерживаетсяТакой перец сам знает, что у него уязвимо, а что нет.
а-ха-ха, прекрати! ))
умение сконфигурировать ядро и поиск/слежение за уязвимостями - две большие разницы
> а-ха-ха, прекрати! ))
> умение сконфигурировать ядро и поиск/слежение за уязвимостями - две большие разницыА "умеет сконфигурировать ядро" и "думает, что умеет сконфигурировать ядро" - это две ещё бОльшие разницы.
куда ж мы без вас, кэп )
Сервис нужен только новичкам, хотя я и в этом сомневаюсь. Не понимаю, что мешает Oracle, своевременно отправлять исправления в основную ветку ядра, если у нее имеется актуальная информация об ошибках. По мне так это реклама Ksplice, которая простаивает
Зомби рутуют свой комп.
OpenSuSe 12.3
пишет что ядер нет.
классная штука. «Could not find kernel.» чёрт, я офигенный фокусник, вообще без ядра работаю.