Fedora Online Forum

Il forum della comunità italiana di Fedora

#1 20-10-2017 10:24:57

twsfedora
Pinguino avanzato
Registrato: 24-01-2009
Messaggi: 499

Vulnerabilità Kernel Linux CVE-2017-1000253

Ciao a tutti,

avendo un webserver remoto con FC23 ho scritto qui, ma la cosa potrebbe interessare anche altre versioni.

Della vulnerabilità in oggetto se ne parla qui: www.zdnet.com/article/serious-linux-kernel-security-bug-fixed dove si evince in particolare che un certo bug "It was fixed in the 4.0 Linux kernel. To be exact, Davidson repaired the kernel bug with a patch committed on April 14, 2015." Ma poi si dice che "What neither Davidson, nor anyone, realized at the time was that what appeared to be a minor bug could be exploited."
Si parla di RedHat, Debian e CentOS... e non riesco a capire se il kernel 4.8.13-100.fc23.x86_64 installato attualmente sulla mia macchina è vulnerabile o no.

Non è più aggiornabile, perché dai repository non si ottiene più niente per questa versione di Fedora, ma dall'assistenza Aruba mi hanno risposto: la invitiamo a verificare tramite le pagine di supporto Fedora, la possibilità di aggiornare il kernel manualmente tramite RPM alla versione non affetta dalla vulnerabilità.

Che ne pensate? Eventualmente come si procede manualmente con l'aggiornamento del kernel? E da quale versione del kernel Fedora non è più affetto dalla vulnerabilità? Essendo da remoto ho più di un timore ad intervenire senza repository, peraltro...

Grazie,
Fabio.

Ultima modifica di twsfedora (20-10-2017 14:31:39)

Non in linea

#2 20-10-2017 14:25:29

frafra
Amministratore
Da Trondheim (Norvegia)
Registrato: 14-05-2014
Messaggi: 2'296
Sito web

Re: Vulnerabilità Kernel Linux CVE-2017-1000253

Usa il tag url al posto del code, oppure non usarlo affatto in modo che il forum automaticamente riconosca il link.

Utilizzare una versione supportata evita proprio questo tipo di problemi.
Qual è il problema con Aruba, ti impediscono di aggiornare?

Se ti interessa bloccare questo tipo di vulnerabilità, che è sfruttabile solo in alcuni casi, leggi la parte "mitigation" di https://access.redhat.com/security/cve/CVE-2017-1000253

Non in linea

#3 20-10-2017 14:38:45

twsfedora
Pinguino avanzato
Registrato: 24-01-2009
Messaggi: 499

Re: Vulnerabilità Kernel Linux CVE-2017-1000253

Ciao frafra, chiedo venia per il link, ho sbagliato pulsante e non me ne sono accorto. Ho corretto.

Il webserver ha l'ultima versione disponibile di Fedora (la 23) al momento della configurazione dello stesso. So che Fedora viene poi aggiornato frequentemente e quindi le distro diventano rapidamente obsolete e non più supportate. Aruba non mi impedisce nulla (il server è dedicato) ma da remoto non mi fido ad effettuare l'upgrade a versioni successive, non l'ho mai fatto e non so quanto è sicura l'operazione. Posto che un backup del sistema è comunque importante, se però qualcosa va storto e perdo la macchina non ho molto tempo da dedicarci per ripristinare prontamente LAMP e sito... magari dovendo coinvolgere comunque anche l'assistenza di Aruba (pagando).
Comunque so che si può usare un plugin di dnf (proprio dalla fc23) per effettuare l'upgrade, che mi consigli di fare?

PS: intanto mi studierò l'articolo che mi hai indicato. Grazie!

Ultima modifica di twsfedora (20-10-2017 14:40:18)

Non in linea

#4 20-10-2017 14:58:40

frafra
Amministratore
Da Trondheim (Norvegia)
Registrato: 14-05-2014
Messaggi: 2'296
Sito web

Re: Vulnerabilità Kernel Linux CVE-2017-1000253

Io ti consiglio di usare un servizio di hosting o, nel caso non ti bastasse, di VPS gestita se non hai tempo da dedicare a questi aspetti. Con meno di 30 euro al mese ci sono aziende più che serie che ti gestirebbero la VPS da cima a fondo. Altrimenti devi metterti il cuore in pace e preoccuparti di configurazione ed aggiornamenti.

Io ho un server dedicato con CentOS + tanti ambienti separati che usano Fedora (uno ha Apache+Wordpress+MariaDB+ssmtp, l'altro ha Apache+uwsgi+python, e via dicendo...). Tutti i sistemi hanno fanno gli aggiornamenti in automatico con backup (non è la soluzione ideale, ma nel mio caso basta), ma non il salto di versione. Sono molto curioso di vedere F27 server, e a capire se riesco a semplificare il tutto.

Non in linea

Piè di pagina