Qualche giorno fa vi avevamo parlato di come Canonical avesse rilasciato il sistema di live patching a tutti, anche se con alcune limitazioni per gli utenti free (al massimo 3 sistemi Ubuntu con live patching attivato).
Ebbene, in relazione (anche) al bug DirtyCOW recentemente rilevato nel kernel, ha deciso di utilizzare immediatamente il nuovo sistema.
E proprio in questi giorni ha rilasciato la livepatch versione "13.3" contenente le fix per i seguenti bug:
- >CVE-2016-5195 (DirtyCOW): discusso nel dettaglio nel nostro articolo;
- CVE-2016-7039: un bug che affligge lo stack IP del kernel e che può essere sfruttato per causare Denial Of Service utilizzando pacchetti che sfruttino la funzione GRO (Generic Receive Offload) costruiti ad-hoc;
- CVE-2015-8666: un overrun basato sulla heap gestita da ACPI durante la migrazione di VM
Come previsto dal sistema di live patch, per applicare queste patch non sarà necessario riavviare il sistema.
Effettivamente è stato bello trovarsi il pc già patchato senza neanche essermene accorto (di fatto, l'ho scoperto tramite comunicati su siti terzi):
vaio:~$ sudo canonical-livepatch status --verbose
client-version: "5"
machine-id: [omiss]
machine-token: [omiss]
architecture: x86_64
cpu-model: Intel(R) Core(TM) i7-2620M CPU @ 2.70GHz
last-check: 2016-10-26T16:23:07.551210965+02:00
boot-time: 2016-10-24T09:17:03+02:00
uptime: 55h10m52s
status:
- kernel: 4.4.0-43.63-generic
running: true
livepatch:
state: applied
version: "13.3"
fixes: '* CVE-2016-5195 LP: #1633547'
Bel lavoro, Canonical!
Leggi il contenuto originale su Mia mamma usa Linux!