Il kernel Linux supportato da Linux Mint 17 LTS è vulnerabile?

1

Durante un controllo di sicurezza locale eseguito da nessus su un sistema Linux Mint Qiana 17 LTS, anche se l'host è perfettamente aggiornato, ho trovato 34 vulnerabilità sul kernel.

Ad esempio:
USN-2946-1 (CVE-2015-8812, CVE-2016-2085, CVE-2016-2550, CVE-2016-2847)
USN-3018-1 (CVE-2016-4482, CVE-2016-4565, CVE-2016-4569, CVE-2016-4578, CVE-2016-4580, CVE-2016-4913, CVE-2016-4997, CVE- 2016-4998)
...
USN-2359-1 (CVE-2014-3601, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472)
...
...

Tutte queste vulnerabilità appartengono alla versione del kernel installata corrente: linux-image-3.13.0-24-generic_3.13.0-24.47

Linux mint è basato su Ubuntu 14.04 LTS. Ma Ubuntu 14.04 LTS sembra usare linux-image-3.13.0-96-generic.
Conosco la patch di sicurezza per il backport di Ubuntu, quindi il numero principale della versione del kernel rimane invariato ma le vulnerabilità sono corrette.
Se sono corretto quando una vulnerabilità è pubblicamente esposta su linux-kernel 3.X.Y, linux crea una versione 3.X.Z e Ubuntu inserisce la patch nella versione 3.X.Y-1 (giusto?).
Quindi se stai usando il kernel linux 3.13.0-24 ma l'ultima versione è 3.13.0-96, ti mancano tutte le patch di sicurezza fatte da Canonical.

Ho visto che linux-kernel 3.13.0-24 è ufficialmente la versione supportata da Qiana: link

Qiana (linux mint 17) è una versione LTS, quindi le patch di sicurezza devono essere inserite nel kernel.

La mia domanda non riguarda come ottenere un kernel sicuro, so che posso usare linux mint 17.1, 17.2, 18, ecc. La mia domanda riguarda "come una versione mint di LTS può utilizzare una versione vulnerabile nota del kernel di Linux"?

Credo che le possibili risposte siano:
 1. hai sbagliato la versione del kernel 3.13.0-24 non è vulnerabile
 2. Mint patch backports nel kernel senza aggiornare l'ultimo numero (la 'Z' in 3.X.Y-Z)
 3. Sì mint usa una versione precedente del kernel senza le ultime patch di sicurezza supportate da Ubuntu quindi Qiana 17 LTS è pieno di kernel vuln

Si noti che nessus non era pronto per eseguire controlli di sicurezza locali specifici di Mint, ma ha rilevato che il sistema operativo è basato su Ubuntu e fa i suoi controlli sapendo che:

The output of "uname -a" is :
Linux Tony-PC 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

The remote Debian system is :
jessie/sid

This is a Ubuntu system

Local security checks have been enabled for this host.

Possiamo vedere che la data di costruzione fa paura. E ho controllato che tutti i parametri sono l'aggiornamento del sistema: l'elenco dei depositi è corretto, apt-get è buono, apt-get è buono, apt-get dist-upgrade è buono.

    
posta Sibwara 20.09.2016 - 21:12
fonte

3 risposte

1

Linux Mint disabilita gli aggiornamenti di sicurezza di alcuni componenti (incluso il kernel) per impostazione predefinita. Potresti volerli abilitare e riprovare.

Leggi questo per lo sfondo:

link

    
risposta data 23.09.2016 - 11:58
fonte
5

Il fondatore di Linux Mint e lo sviluppatore principale Clement Lefebvre ha risposto a queste accuse con un post sul blog segfault.linuxmint.com nel 2013.

I hear [Oliver Grawert, a Canonical-employed Ubuntu developer] was more opinionated than knowledgeable and the press blew what he said out of proportion. I wouldn’t mind too much, if we weren’t finding ourselves answering questions from panicked users rather than working on what matters right now (i.e. Mint 16 RC).

So I’ll be brief.

About package updates:

We explained in 2007 what the shortcomings were with the way Ubuntu recommends their users to blindly apply all available updates. We explained the problems associated with regressions and we implemented a solution we’re very happy with. Anybody running Mint can launch Update Manager -> Edit -> Preferences and enable level 4 and 5 updates, thus making their Linux Mint as “Secure” and “Unstable” as Ubuntu.

HowToGeek.com riassume l'argomento in questo modo nel loro blog :

Linux Mint’s primary argument is that “blindly” updating packages like the X.org graphical server, bootloader, and Linux kernel can cause problems. Updates to these low-level packages can introduce bugs on some types of hardware, while the security problems they solve aren’t actually a problem for people who use Linux Mint casually at home.

[...]

The real disagreement here is a philosophical one. Ubuntu errs on the side of updating everything by default, eliminating all possible security vulnerabilities — even ones that are unlikely to be exploited on home user systems. Linux Mint errs on the side of excluding updates that could potentially cause problems.

    
risposta data 28.09.2016 - 20:03
fonte
0

L'applicazione di patch alle vulnerabilità note può introdurre instabilità. La menta favorisce la stabilità, Ubuntu favorisce la sicurezza. Personalmente, se senti questo dimostra perché qualcosa di chiave come il tuo sistema operativo dovrebbe essere supportato da un team dedicato che spinge rapidamente le patch mentre cerchi di mantenere la stabilità del sistema.

    
risposta data 29.09.2016 - 00:07
fonte