¿El kernel de Linux compatible con Linux Mint 17 LTS es vulnerable?

1

Durante una comprobación de seguridad local realizada por nessus en un sistema Linux Mint Qiana 17 LTS, incluso si el host está perfectamente actualizado, he encontrado 34 vulnerabilidades en el kernel.

Por ejemplo:
USN-2946-1 (CVE-2015-8812, CVE-2016-2085, CVE-2016-2550, CVE-2016-2847)
USN-3018-1 (CVE-2016-4482, CVE-2016-4565, CVE-2016-4569, CVE-2016-4578, CVE-2016-4580, CVE-2016-4913, CVE-2016-4997, CVE- 2016-4998)
...
USN-2359-1 (CVE-2014-3601, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472)
...
...

Todas estas vulnerabilidades pertenecen a la versión actual instalada del kernel: linux-image-3.13.0-24-generic_3.13.0-24.47

Linux mint se basa en Ubuntu 14.04 LTS. Pero Ubuntu 14.04 LTS parece usar linux-image-3.13.0-96-generic.
Sé que el parche de seguridad de backport de Ubuntu, por lo que el número principal de la versión del kernel permanece sin cambios, pero las vulnerabilidades están arregladas. Si estoy en lo cierto cuando tienes una vulnerabilidad expuesta públicamente sobre linux-kernel 3.X.Y, linux crea una versión 3.X.Z y Ubuntu coloca el parche en la versión 3.X.Y-1 (¿verdad?).
Entonces, si está utilizando el kernel de Linux 3.13.0-24 pero la última versión es 3.13.0-96, le faltan todos los parches de seguridad hechos por Canonical.

He visto que linux-kernel 3.13.0-24 es oficialmente la versión compatible con Qiana: enlace

Qiana (linux mint 17) es una versión LTS, por lo que los parches de seguridad se insertarán en el kernel.

Mi pregunta no es sobre cómo obtener un kernel seguro, sé que puedo usar linux mint 17.1, 17.2, 18, etc. Mi pregunta es acerca de "¿Cómo una versión de LTS puede usar una versión vulnerable conocida de Linux kernel"?

Supongo que las posibles respuestas son:
 1. te equivocas, la versión del kernel 3.13.0-24 no es vulnerable
 2. Mint backports parches en el kernel sin actualizar el último número (la 'Z' en 3.X.Y-Z)
 3. Sí, use una versión anterior del kernel sin los últimos parches de seguridad respaldados por Ubuntu, por lo que Qiana 17 LTS está lleno de kernel vuln

Tenga en cuenta que nessus no estaba listo para realizar una verificación de seguridad local específica de Mint, pero detectó que el sistema operativo está basado en Ubuntu y realiza sus comprobaciones sabiendo que:

The output of "uname -a" is :
Linux Tony-PC 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

The remote Debian system is :
jessie/sid

This is a Ubuntu system

Local security checks have been enabled for this host.

Podemos ver que la fecha de construcción hace un poco de miedo. Y he comprobado que todos los parámetros son la actualización del sistema: la lista de depositarios es correcta, apt-get update es buena, apt-get upgrade es buena, apt-get dist-upgrade también es buena.

    
pregunta Sibwara 20.09.2016 - 21:12
fuente

3 respuestas

1

Linux Mint deshabilita las actualizaciones de seguridad de algunos componentes (incluido el kernel) de forma predeterminada. Es posible que desee habilitarlos y volver a intentarlo.

Lee esto para el fondo:

enlace

    
respondido por el Mark Koek 23.09.2016 - 11:58
fuente
5

El fundador y desarrollador líder de Linux Mint Clement Lefebvre respondió a estas acusaciones con una publicación en el blog segfault.linuxmint.com en 2013.

  

Escuché que [Oliver Grawert, un desarrollador de Ubuntu empleado por Canonical] tenía más opiniones que un experto y la prensa sopló lo que dijo fuera de proporción. No me importaría demasiado, si no nos estuviéramos respondiendo a las preguntas de los usuarios en pánico en lugar de trabajar en lo que importa en este momento (es decir, Mint 16 RC).

     

Así que seré breve.

     

Acerca de las actualizaciones de paquetes:

     

En 2007, explicamos cuáles eran las deficiencias con la forma en que Ubuntu recomienda a sus usuarios aplicar ciegamente todas las actualizaciones disponibles. Explicamos los problemas asociados con las regresiones e implementamos una solución con la que estamos muy contentos.   Cualquiera que ejecute Mint puede iniciar Update Manager - > Editar - > Preferencias y habilita las actualizaciones de nivel 4 y 5, lo que hace que su Linux Mint sea "Seguro" e "Inestable" como Ubuntu.

HowToGeek.com resume el argumento de esta manera en su blog :

  

El argumento principal de Linux Mint es que los paquetes de actualización "a ciegas" como el servidor gráfico, el cargador de arranque y el kernel de Linux pueden causar problemas. Las actualizaciones de estos paquetes de bajo nivel pueden introducir errores en algunos tipos de hardware, mientras que los problemas de seguridad que solucionan no son realmente un problema para las personas que usan Linux Mint casualmente en casa.

     

[...]

     

El verdadero desacuerdo aquí es filosófico. Ubuntu se equivoca al actualizar todo de forma predeterminada, eliminando todas las posibles vulnerabilidades de seguridad, incluso las que probablemente no serán explotadas en los sistemas de usuarios domésticos. Linux Mint se equivoca al excluir las actualizaciones que podrían causar problemas.

    
respondido por el Matt Butler 28.09.2016 - 20:03
fuente
0

El parcheo de vulnerabilidades conocidas puede introducir inestabilidades. La menta favorece la estabilidad, Ubuntu favorece la seguridad. Personalmente, si siente esto, demuestra por qué algo tan clave como su sistema operativo debe ser respaldado por un equipo dedicado que empuja los parches rápidamente al intentar mantener la estabilidad del sistema.

    
respondido por el Hadog 29.09.2016 - 00:07
fuente

Lea otras preguntas en las etiquetas