我最近更新了内核,发现它影响了我的图形驱动程序。为了快速修复,我回滚了驱动程序,但想知道这是否会以某种方式影响我的系统安全?
使用 64 位 Ubuntu 14.04-3.19.0-47-generic
答案1
它不再像使用旧版本那样影响您的安全。
回滚不会做任何特殊的事情。
要了解您回滚或忽略的特定更新是否包含严重的安全补丁,请查看您拒绝的版本的更新日志。因此请访问http://changelogs.ubuntu.com/changelogs/pool/main/l/linux/并选择相应的版本目录,然后打开changelog文件并检查:
它将包含以内核更新版本为标题的部分。以下是变更日志的前两部分,4.2.0-30.36例如:
linux (4.2.0-30.36) wily; urgency=high
[ Kamal Mostafa ]
* Release Tracking Bug
- LP: #1550037
[ Upstream Kernel Changes ]
* drm/vmwgfx: Fix an fb unlocking bug
- LP: #1548587
-- Kamal Mostafa <[email protected]> Thu, 25 Feb 2016 15:02:05 -0800
linux (4.2.0-30.35) wily; urgency=low
[ Seth Forshee ]
* SAUCE: cred: Add clone_cred() interface
- LP: #1531747, #1534961, #1535150
- CVE-2016-1575 CVE-2016-1576
* SAUCE: overlayfs: Use mounter's credentials instead of selectively
raising caps
- LP: #1531747, #1534961, #1535150
- CVE-2016-1575 CVE-2016-1576
* SAUCE: overlayfs: Skip permission checking for trusted.overlayfs.*
xattrs
- LP: #1531747, #1534961, #1535150
- CVE-2016-1575 CVE-2016-1576
* SAUCE: overlayfs: Be more careful about copying up sxid files
- LP: #1534961, #1535150
- CVE-2016-1575 CVE-2016-1576
* SAUCE: overlayfs: Propogate nosuid from lower and upper mounts
- LP: #1534961, #1535150
- CVE-2016-1575 CVE-2016-1576
-- Luis Henriques <[email protected]> Fri, 19 Feb 2016 10:25:02 +0000
[...many more lines...]
如您所见,每个变更日志都包含所有以前的变更日志。最新更改位于顶部。只需查看第一行,即最新更改的标题:
linux (4.2.0-30.36) wily; urgency=high
你注意到urgency=high?这意味着这是一个重要的安全更新,你应该如果系统容易受到攻击(所有连接到公共网络或使用可移动媒体的系统都容易受到攻击),并且您关心安全性,则不要忽略。
当然,您必须检查您自己的特定内核版本,因为我不知道。您可以使用 查找正在运行的内核版本uname -r,或者使用 查找确切版本(包括 后面的数字.)apt-cache policy linux-image-generic。
答案2
我将支持上述 Byte Commander 的回答,并为那些可能对所有代码/更改日志引用感到困惑的人添加两个基本的简化点:
- 据我所知,并非所有安全更新都依赖于内核。随着软件包的更新,有时安全更新是针对单个软件包而不是内核本身进行的。即使您回滚内核,您仍然可以获得针对这些软件包的新安全更新的好处。
- 这实际上取决于您的特定内核、您要回滚到的内核、您可能进行的任何系统范围的更改或添加,以及您正在使用的其他软件/硬件(包括您的网络)的现有安全性。当对内核进行重大安全更新时,它可能适用于所有硬件或所有网络/网络类型,也可能不适用于所有硬件或所有网络/网络类型。显然,有时会修复适用于所有或几乎所有系统的主要安全漏洞,但正如 Byte Commander 所说,最好的做法是阅读相关的发行说明/更改日志,以了解这是否适用于您。