Durante un controllo di sicurezza locale eseguito da nessus su un sistema Linux Mint Qiana 17 LTS, anche se l'host è perfettamente aggiornato, ho trovato 34 vulnerabilità sul kernel.
Ad esempio:
USN-2946-1 (CVE-2015-8812, CVE-2016-2085, CVE-2016-2550, CVE-2016-2847)
USN-3018-1 (CVE-2016-4482, CVE-2016-4565, CVE-2016-4569, CVE-2016-4578, CVE-2016-4580, CVE-2016-4913, CVE-2016-4997, CVE- 2016-4998)
...
USN-2359-1 (CVE-2014-3601, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472)
...
...
Tutte queste vulnerabilità appartengono alla versione del kernel installata corrente: linux-image-3.13.0-24-generic_3.13.0-24.47
Linux mint è basato su Ubuntu 14.04 LTS. Ma Ubuntu 14.04 LTS sembra usare linux-image-3.13.0-96-generic.
Conosco la patch di sicurezza per il backport di Ubuntu, quindi il numero principale della versione del kernel rimane invariato ma le vulnerabilità sono corrette.
Se sono corretto quando una vulnerabilità è pubblicamente esposta su linux-kernel 3.X.Y, linux crea una versione 3.X.Z e Ubuntu inserisce la patch nella versione 3.X.Y-1 (giusto?).
Quindi se stai usando il kernel linux 3.13.0-24 ma l'ultima versione è 3.13.0-96, ti mancano tutte le patch di sicurezza fatte da Canonical.
Ho visto che linux-kernel 3.13.0-24 è ufficialmente la versione supportata da Qiana: link
Qiana (linux mint 17) è una versione LTS, quindi le patch di sicurezza devono essere inserite nel kernel.
La mia domanda non riguarda come ottenere un kernel sicuro, so che posso usare linux mint 17.1, 17.2, 18, ecc. La mia domanda riguarda "come una versione mint di LTS può utilizzare una versione vulnerabile nota del kernel di Linux"?
Credo che le possibili risposte siano:
1. hai sbagliato la versione del kernel 3.13.0-24 non è vulnerabile
2. Mint patch backports nel kernel senza aggiornare l'ultimo numero (la 'Z' in 3.X.Y-Z)
3. Sì mint usa una versione precedente del kernel senza le ultime patch di sicurezza supportate da Ubuntu quindi Qiana 17 LTS è pieno di kernel vuln
Si noti che nessus non era pronto per eseguire controlli di sicurezza locali specifici di Mint, ma ha rilevato che il sistema operativo è basato su Ubuntu e fa i suoi controlli sapendo che:
The output of "uname -a" is :
Linux Tony-PC 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
The remote Debian system is :
jessie/sid
This is a Ubuntu system
Local security checks have been enabled for this host.
Possiamo vedere che la data di costruzione fa paura. E ho controllato che tutti i parametri sono l'aggiornamento del sistema: l'elenco dei depositi è corretto, apt-get è buono, apt-get è buono, apt-get dist-upgrade è buono.