Durante una comprobación de seguridad local realizada por nessus en un sistema Linux Mint Qiana 17 LTS, incluso si el host está perfectamente actualizado, he encontrado 34 vulnerabilidades en el kernel.
Por ejemplo:
USN-2946-1 (CVE-2015-8812, CVE-2016-2085, CVE-2016-2550, CVE-2016-2847)
USN-3018-1 (CVE-2016-4482, CVE-2016-4565, CVE-2016-4569, CVE-2016-4578, CVE-2016-4580, CVE-2016-4913, CVE-2016-4997, CVE- 2016-4998)
...
USN-2359-1 (CVE-2014-3601, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472)
...
...
Todas estas vulnerabilidades pertenecen a la versión actual instalada del kernel: linux-image-3.13.0-24-generic_3.13.0-24.47
Linux mint se basa en Ubuntu 14.04 LTS. Pero Ubuntu 14.04 LTS parece usar linux-image-3.13.0-96-generic.
Sé que el parche de seguridad de backport de Ubuntu, por lo que el número principal de la versión del kernel permanece sin cambios, pero las vulnerabilidades están arregladas.
Si estoy en lo cierto cuando tienes una vulnerabilidad expuesta públicamente sobre linux-kernel 3.X.Y, linux crea una versión 3.X.Z y Ubuntu coloca el parche en la versión 3.X.Y-1 (¿verdad?).
Entonces, si está utilizando el kernel de Linux 3.13.0-24 pero la última versión es 3.13.0-96, le faltan todos los parches de seguridad hechos por Canonical.
He visto que linux-kernel 3.13.0-24 es oficialmente la versión compatible con Qiana: enlace
Qiana (linux mint 17) es una versión LTS, por lo que los parches de seguridad se insertarán en el kernel.
Mi pregunta no es sobre cómo obtener un kernel seguro, sé que puedo usar linux mint 17.1, 17.2, 18, etc. Mi pregunta es acerca de "¿Cómo una versión de LTS puede usar una versión vulnerable conocida de Linux kernel"?
Supongo que las posibles respuestas son:
1. te equivocas, la versión del kernel 3.13.0-24 no es vulnerable
2. Mint backports parches en el kernel sin actualizar el último número (la 'Z' en 3.X.Y-Z)
3. Sí, use una versión anterior del kernel sin los últimos parches de seguridad respaldados por Ubuntu, por lo que Qiana 17 LTS está lleno de kernel vuln
Tenga en cuenta que nessus no estaba listo para realizar una verificación de seguridad local específica de Mint, pero detectó que el sistema operativo está basado en Ubuntu y realiza sus comprobaciones sabiendo que:
The output of "uname -a" is :
Linux Tony-PC 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
The remote Debian system is :
jessie/sid
This is a Ubuntu system
Local security checks have been enabled for this host.
Podemos ver que la fecha de construcción hace un poco de miedo. Y he comprobado que todos los parámetros son la actualización del sistema: la lista de depositarios es correcta, apt-get update es buena, apt-get upgrade es buena, apt-get dist-upgrade también es buena.