Re: Kernel aus Backports
Sebastian Suchanek <sebastian.suchanek@gmx.de> wrote:
> Am 25.07.2016 um 08:06 schrieb Uwe Kleine-König:
>> [...]
>> Meine Empfehlung: Installier' Dir einen Kernel aus backports (oder aus
>> testing).
>> [...]
> Mit Backports habe ich bislang praktisch keine Erfahrung, insbesondere
> nicht mit einem Backport-Kernel. Kann man sich den Backport-Kernel
> komplett "isoliert" installieren oder zieht das noch einen ganzen
> Schwung anderer Backport-Pakete hinter sich her, weil die
> Abhängigkeiten sonst nicht passen?
Der Backport-Kernel ist sehr isoliert. Manchmal zieht es eine neue
Version der initramfs-tools mit, aber die sind auch unkritisch, weil nur
Kernel-Relevant.
> Und wie sieht es /in der Praxis/ mit Sicherheitspatches aus? Die FAQ[1]
> liest sich dazu ja erstmal nicht /so/ prickelnd...
Updates gibt es, sobald der Kernel in Testing angekommen ist. Bei
kritischen Bugs auch sehr viel schneller.
Im Grunde ist die Sicherheitsituation beim Kernel aber nicht so
katastrophal, weil ein überwiegender Großteil der Sicherheitsbugs "nur"
lokal ausnutzbar sind, d.h. nicht durch Zugriffe auf den Kernel via
Netzwerk.
Und für einen lokalen root-Exploit oder Denial-of-Service braucht es
eben auch erst einmal einen Login in irgendeiner Form. Dies kann
natürlich durch ein unsicheres Wordpress via Apache erfolgen. Aber
dennoch ist die Hürde von Remote nach lokalem root doch deutlich größer.
Echte über das Internet ausnutzbare root-Lücken im Kernel fallen mir
jetzt direkt in der letzten Zeit auch gar nicht aus dem Stehgreif ein.
> Immerhin scheint das spätere dist-upgrade von jessie + backports auf
> ein "normales" Stretch kein Problem zu sein, so wie ich die FAQ
> verstehe.
Das ist eine der Voraussetzungen für die Aufnahme eines zurückportierten
Paketes.
S°
--
Sigmentation fault. Core dumped.
Reply to: