Linuxové jádro do verze 5.0.8 trpí zranitelností umožňující vzdálené spuštění kódu

Ahoj, potřeboval bych vědět jestli je i jiný způsob jak prověřit, že Centos/RedHat vydal opravy na tuhle zranitelnost než je kontrolovat changelog?

Používám: rpm -qa -changelog kernel | grep CVE-2019

14. 5. 2019, 10:58 editováno autorem komentáře

Red Hat vydává errata: https://access.redhat.com/errata/
V changelogu nemusí být všechno, i když CVE nejspíše ano.

Děkuju za info, chápu to tedy dobře, že tahle oprava ještě není vydána?
https://access.redhat.com/errata/#/?q=&p=1&sort=portal_publication_date%20desc&rows=10&portal_product=Red%20Hat%20Enterprise%20Linux&portal_product_version=7.6

Red Hat má jádra patchovaná a také SELinux, takže obecně ne každé CVE musí znamenat problém. Mohl byste se zkusit podívat do RH Bugzilly, ale ten report bude zřejmě zamknutý. Můžete ale vytvořit novou chybu, vlastně s dotazem. A nebo věřit tomu, že to nejsou takoví lůzrové, aby kdyby to byl reálný problém, nepohli svým zadkem včas :-)

Embargo už skončilo, takže ta bz je přístupná: https://bugzilla.redhat.com/show_bug.cgi?id=1708518

Podpora Red Hatu má SLA na 5 pracovních dní u bezpečnostních chyb s vysokým nebo kritickým dopadem. Ty opravy můžou být vydané samozřejmě dřív, toto by měla být ta horní hranice.

Třeba tady (odkaz přímo ze zprávičky): https://access.redhat.com/security/cve/cve-2019-11815

Díky, není nad to se po hodině hledání vrátit na začátek a najít odpověď :-D

U RH vede odkaz ze zprávičky na automaticky vygenerovanou stránku, kde není žádná doplňující informace.

Prosím? A ten seznam Affected Packages State dole je co? Taky je tam přímý odkaz do bugzilly (v boxíku vpravo).

Přímo ve zprávičce máte odkaz na stránku s přehledem aktuálního stavu. V tomto případě ale bude zajímavější informace spíš to, jestli je daná distribuce zranitelná. V tomto případě to znamená buď jádro 4.3 a novější (což má jen čerstvě vydaný RHEL 8) nebo backport commitu 467fa15356ac (což si nejsem jistý, jak jednoduše lze u RHEL jádra zjistit).

Pre mňa čakajúceho na GCC9 v openSUSE Tumbleweed je toto oveľa väčší problém, aj keď pre jadro 5.1 to nepotvrdili, ale ani navylúčili..

Watch Out For BCache Corruption Issues On Linux 5.0 & GCC 9
on 14 May 2019 at 04:46

Multiple users are confirming "massive filesystem corruption" including by the stock Fedora 30 kernel which is built by GCC9 and based on Linux 5.0. There is also this related Red Hat bug entry.

..running Linux 5.0 or newer when built by GCC 9, ...

The issue doesn't appear to be Fedora-specific but rather they are one of the first distributions on the Linux 5.0 + GCC 9 combination.
https://www.phoronix.com/scan.php?page=news_item&px=BCache-Corruption-Linux-5

Vcelku zaujímavé, že 2 ks ľudí nesúhlasia s tým, že možná strata dát je väčší problém ako spustenie kódu. Teoreticky ten kód vie aj zamazať dáta, ale pravdepodobne obnoviteľne zmazať.

Otázka je přesně jak se spustí ten škodlivý kód. Buď by člověk musel naletět s malwarem (stejně jako win), nebo by muselo dojít fyzicky. Obojí končí tím, že uživatel byl hlupák. Kdyby to byla možnost z netu (jakože nereálné a hlavně by to byl humbuk) tak to lítaj posty. Takže končíme u uživatele a ten rozhoduje o tom běhu. ;)

Mnou odkazovaná chyba sa realizuje ukladaním dát na disk, presnejšie na HDD s SSD cache..

To je dost katastrofa, ked na to niekto vytvori funkcny exploit. Znamena to, ze vsetky Android zariadenia su zranitelne. Security update na vacsinu zariadeni nikdy nevyjde.

Dost by mě překvapilo, kdyby jádra v Androidu měly zrovna tuhle věc zapnutou.

Celé to byla poplašná zpráva. Chyba se týká řídce používaného protokolu, takže kód není v paměti (je to modul). Nejjednodušší řešení je blacklist modulu, aby se zamezilo i případnému lokálnímu zneužití. Postihuje to pouze relativně nová jádra (tj. není to tam odvždycky, nemá to plošný dopad). Více viz https://bugzilla.redhat.com/show_bug.cgi?id=1708518

Je škoda, že autor zprávičky si nenašel podrobnější informace.