我在 Google Cloud 中有服务器,运行 Ubuntu 16.04,内核版本为 4.15.0-1021-gcp。
对某些漏洞的修复是最近发布。我对此有疑问:我需要更新内核吗?如果是这样,我该怎么办?
答案1
是的,你需要升级你的内核; TCP SACK 漏洞已修复版本4.15.0-1034.36~16.04.116.04 上 GCP 的 Ubuntu 内核映像。
为此,
sudo apt update && sudo apt upgrade
应该足够了,然后重新启动。如果你只想升级内核,
sudo apt update && sudo apt install linux-image-gcp
会将内核升级到最新的 ABI,目前这将确保您获得最新的内核。如果您安装了其他与内核相关的软件包,您可能还需要升级它们;尤其,linux-headers-gcp,linux-modules-extra-gcp,linux-tools-gcp。
如果您关心保持系统安全,那么无论如何您都应该升级所有已安装的软件包;在一次发布中,我们会非常小心以确保apt upgrade安全。由于 TCP SACK 升级涉及重新启动,因此您必须在此处计划停机时间,因此您不妨升级其他所有内容;首先在您的暂存环境中进行测试升级。
要验证重新启动后运行的内核是否已修复,唯一可靠的方法是找到可靠的漏洞利用程序,在您的系统上进行尝试,看看它是否会出现恐慌。如果没有,则内核已修复;如果是这样,则内核未修复。
(不知道是否有修复实时补丁.)
答案2
如果您有 -generic 内核而不是 gcp,则其固定在linux_4.15.0-54.58