Jak nainstalovat opravnou verzi linuxového jádra?

[linuxalinuxb]

Asi je známo, že jádro má údajně kritickou chybu. Jak je možné (co nejsnadněji) nainstaovat opravnou verzi?

Pro někoho, kdo s tím nemá vůbec žádnou zkušenost.

Stáhnout opravnou verzi z kernel.org problém není. Ale údajně je to pouze něco, co se musí ještě následně upravovat a není to vhodně pro nezkušeného uživatele. Zde na stránkách v návodu  jsem našel popis změny jádra, ale přijde mi to dost složté a také je již staršího data.

Ideální by byl asi nějaký  program na správu jádra, kde by to šlo nějak snadno změnit.

Mám  5.15.0-52 a Ubuntu 22.10

Protože se mají podle Úřadu pro kybernetickou bezpečnost dát opravné verze jádra. Jejich označení níže.

Upozorňujeme na závažnou zranitelnost Wi-Fi v linuxovém jádru, označenou identifikátory CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 a CVE-2022-42722, zatím bez hodnocení CVSS. Ke zneužití zranitelnosti u zařízení stačí pouze zapnutá Wi-Fi.

Tato zranitelnost může způsobit:

vzdálené spuštění kódu kvůli heap overflow, nebo použití paměti po uvolnění při zpracování 802.11. beacon rámce od verze 5.1 a 5.2,
Denial of Service při zpracování 802.11 beacon rámce od verze 5.1 a 5.8.

Mitigace zranitelnosti

Byly vydány opravné verze jádra:

6.0.2
5.19.16
5.15.74
5.10.148
5.4.218

Aktualizaci jádra doporučujeme provést co nejdříve a do nasazení opravy doporučujeme vypnout Wi-Fi u všech zranitelných zařízení.

[juwa2]

Proč pracně upravovat "vadnou" verzi, když prostě stačí nainstalovat tu opravenou?? 

[linuxalinuxb]

Ale takhle jsem to myslel. Chci mít tu správnou opravenou verzi jádra a je mi jedno, jestli se do počítače dostat přes ,,upgradovat", nebo ,,instalovou novou". Neumím ani jedno a potřebuji poradit, jak se to dělá?

Ne každá verze jádra je od této zranitelnosti opravená. Já jsem si přeinstaloval nově Ubuntu, ale stejně mi to ukazuje verzi jádra, která není mezi těmi opravenými (6.0.2,  5.19.16,  5.15.74,  5.10.148,  5.4.218)

[juwa2]

Ale takhle jsem to myslel. Chci mít tu správnou opravenou verzi jádra a je mi jedno, jestli se do počítače dostat přes ,,upgradovat", nebo ,,instalovou novou". Neumím ani jedno a potřebuji poradit, jak se to dělá?

Aha, no tak zde máš možnost stáhnout si balíky jader dle libosti.
A jelikož očekávám dotaz jak je nainstalovat, hned odpovím:
Stažené čtyři balíky *.deb dej do nějaké samostatné složky, otevři v ní terminál a zadej příkaz

Kód: [Vybrat]

sudo dpkg -i ./*.deb
Na obrázku máš příklad které balíky stáhnout - platí pro všechny kernely.
Pozn:  Pokud máš zapnutý (v biosu) secure boot, s unsigned kernelem ale nenabootuješ....

[linuxalinuxb]

Děkuji. Zkusím.

[linuxalinuxb]

Pár hodin mi to zabralo. Na prvním přístroji se mi to to nepodařilo změnit, na tom druhém pak už ano.

Díval jsem se pouze na ty opravené verze a ne každá měla stejný počet řádku se soubory. Třeba nejnovější z těch opravených verzí 6.0.2 nemá  soubor, ve kterém je označení all. Tak jsem raději stáhl opravenou verzi 5.4.218 a při instalaci v příkazovém řádku to na posledním řádku ukázalo chybu.

Při instalaci v GRUB to ukazuje ,,bad shim signature  Loading initial ramdisk...  error: you need to load  the kernel first

Tak jsem stáhl další verzi 5.19.16 a ta už v příkazovém řádku prošla v pořádku. Ale v GRUB to ukazuje to samé. Musel jsem dát původní neopravenou verzi 5.19.0, abych mohl spustit OS.


Na ten druhý jsem zkopíroval rovnou pouze tu druhou vyšší verzi 5.19.16 a vše proběhlo v pořádku. Jádro je změněné.
Domnívám se, že se něco rozbilo při té instalaci nižší verze 5.4.218. Dá se to nějak opravit? Pomohlo by odstranění této nižší verze třeba? Jak bych jí měl odstranit?

K tomu druhému přístroji, na kterém jde v pořádku ta opravená vyšší verze jádra. Jak mám zabránit tomu, aby se při automatické aktualizaci Ubuntu změnilo i jádro na vyšší verzi? Vůbec totiž netuším, kdy to už bude bezpečné? Aby nedošlo k tomu, že se automaticky aktualizuje jádro na vyšší verzi, která nebude mít opravenou tu kritickou chybu.

Na to by měl existovat nějaký text do příkazového řádku, který zabrání automatické aktualizaci jádra. Aspoň myslím. 

[linuxalinuxb]

Takže na třetím posledním počítači se mi to také nepodařilo změnit to jádro a ukazuje to stejnou chybu jako u toho prvního. Na rozdíl od toho prvního ale v příkazovém řádku proběhlo vše v pořádku, protože jsem instaloval pouze tu druhou vyšší verzi, žadnou chybu tu nehlásili, ale po změně v GRUBU to také nešlo spustit a musel jsem dát opět původní neopravenou verzi.

Takže jeden počítač OK a dva ne. Nevím, v čem je problém? U toho prvního jsem si to myslel, kde je problém, ale to mi vyvrátil pokus u tohoto třetího počítače.

[juwa2]

1. Jádra samotná (ty jejich 4 - 5  balíky) se neaktualizují. Pouze se vedle nich instalují jádra nová. Na původní jádro se tak lze kdykoli vrátit (dokud ho neodinstaluješ).
2. Aktualizují se pouze metabalíky které se starají o stažení/instalaci jádra nového.
3. Pokud o nové jádro nemáš zájem, lze to řešit uzamčením (nebo odinstalací) těchto metabalíků. Nejsnáze to uděláš (naklikáš) v Synapticu.
Lze to samozř. i příkazem, syntax je

Kód: [Vybrat]

sudo apt-mark hold <package-name>
Pak se žádná nová jádra instalovat nebudou (dokud to zase nepovolíš).
4. Nainst. jádra jsou na sobě nezávislá, můžeš jich tam mít současně kolik chceš. Nepotřebná je vhodné odinstalovat (kvůli místu) - jsou to balíky jako každé jiné. Můžeš je tedy zkusit i přeinstalovat.

5. Chyba "bad shim signature  Loading initial ramdisk...  error: you need to load  the kernel first" znamená, že máš na těch PC zapnutý secure boot. Byl jsi na to upozorněn, vypni ho v Biosu.  Jinak bys musel sehnat "podepsané" jádro. Zkusit to můžeš třeba zde.
(Přidej si ten PPA do zdrojů SW a pak pomocí Synapticu instaluj jádra dle výběru).

[linuxalinuxb]

Ano. Omlouvám se, byl jsem upozorněn, ale nedal jsem si to vůbec dohromady. Už je to v pořádku. Velice děkuji za velmi přesnou a vyčerpávajíci odpověď.

[juwa2]

Ještě doplním, že pokud by někoho zajímalo, jestli a jak ty "opravy" kernelů na jeho PC fungují (jsou aktivní), může použít skript odtud. Příklad výstupu:



No ale je obecně známo, že tyto SW opravy implementované do kernelů bohužel snižují výkon. A někdo dá raději (třeba na slabším PC) přednost výkonu před bezpečností.
Proto naopak uvítá, že lze tyhle záplaty "vypnout"  přidáním bootovacích parametrů kernelu (do souboru /etc/default/grub). Takže ten řádek v tom souboru může vypadat třebas takto:

Kód: [Vybrat]

GRUB_CMDLINE_LINUX_DEFAULT="i8042.nomux pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable no_stf_barrier dis_ucode_ldr"
Po změně boot parametrů nezapomenout provést příkaz

Kód: [Vybrat]

sudo update-grub && sudo reboot
Až systém naběhne, ještě můžeme (pomocí skriptu výše) zjistit/porovnat co bylo a nebylo "vypnuto".
Reálný dopad na výkon lze měřit např. takto:
1. Vzít nějakou složku se spoustou položek (10k +), osvědčil se třeba profil prohlížeče (~/.config/google-chrome   -  cca 2GB, 15000 souborů).
2. Komprimovat ji do archivu 7z  To nějakou dobu potrvá....
3. A porovnat časy za které byla komprimace dokončena před a po "vypnutí" záplat. Rozdíly bývají opravdu značné....

[Ventero]

Je tento typ opravy platny jenom pro Intel nebo i pro AMD?

[juwa2]

Je tento typ opravy platny jenom pro Intel nebo i pro AMD?

Ty záplaty by měly být na oboje - ale tyto platfory jsou postiženy různými zranitelnostmi různě (amd je na tom o něco lépe).
Jenomže tech "hrozeb" už se vynořilo a ještě jistě vynoří tolik, že člověk už pomalu ztrácí přehled která je na co, k čemu a pro co vlastně....
Doufám, že to aspoň vědí ti "patcheři"....

[ramael]

Asi jsem nějak mimo. Mě ta chyba moc kritická nepřijde. Pokud jsem to dobře pochopil, tak se to týká jen určitého ovladače. Nebo mne něco uniká?
Občas se mi stává, že jak přeskakuju nejen v práci ale i v soukromém životě z jednoho jazyka na další tak mne něco unikne. Zkrátka než začnu myslet v konkrétním jazyku, něco mne uteče a dochází k nedorozuměním. A pak jsou situace kdy nevím jestli jsem v paralelním vesmíru a mám se smát nebo přemýšlet proč nechápu. Třeba tady https://t.me/c/1718478526/23858 A tak volám kamarádovi a ptám se ho, jestli ty věty v komentářích nemají i jiný význam. Protože tady se nějaký pinďour chlubí jak nám v neděli vyřadil banky. Čehož jsem si nějak nevšiml. Jeden jeho obdivovatel mu píše, že airbank funguje. Zanadává a vymluví se že už to naskočilo. Pochvaly srší. A pak se tam ozve jeden panáček "že až půjde zítra do práce bude poslouchat co češi říkají". Dle kontextu usuzuji, že toho hada máme buď v naší zemi, nebo někde kolem  v nějakém kolektivu kde pracují češi. Ač většinou nesouhlasím s tím jakým směrem a jak naši zemi politici řídí. Tady je třeba táhnout za jeden provaz a takové šmejdy jako je dotyčný XepBam (CherVam) najít a zbavit se jich jako riziko. Dle mne vážnější a bezprostřednější riziko jsou tací jako on než chyba v mac80211_hwsim
Sorry za odbočku

[ikx]

...povolis ubuntu PRO,a tam mas opravy tych CVS-iek...asitaknijak... ...plusss dostaneš desat rocnu podporu UBUNTU...pááá...