任何人都可以在 SLES 11 或 12 中使用 Kgraft 进行内核实时修补吗?有什么程序需要遵循吗? Kgraft 修补后如何验证内核漏洞修复情况?
答案1
实时补丁仅适用于 SLE12+ 作为 SLE12 扩展出售,因此您需要有效密钥并注册此密钥才能获取实时补丁。
SUSE 提供 60 天试用实时补丁购买页面
实时修补由工具控制kgr
:
# kgr
Error: no command provided
Usage: /usr/bin/kgr [-h][-v] COMMAND
Query and manipulate kGraft patching status.
Commands:
status: display the overall status of kGraft patching
patches: display the list of loaded patches
blocking: list processes that are preventing kGraft patching
from finishing
poke: move forward with the kGraft patching by sending
STOP and CONT signal to the pending processes
Options:
-h print this help
-v more detailed output
Report bugs at https://bugzilla.suse.com/.
以及已应用补丁的验证:
# kgr -v patches
kgraft_patch_2_2_1
active: 1
RPM: kgraft-patch-3_12_62-60_64_8-default-2-2.1.x86_64
CVE: CVE-2016-8666 CVE-2016-6480
bug fixes and enhancements: (none)
为了自己验证已修复的错误,您可以尝试错误重现器(如果存在)。 (不推荐这种方式,SUSE 的 QA-Maintenace 在向客户发布之前对该补丁进行了广泛的测试)