linux-image-2.6.26-2-amd64 update ohne Neustart?

[xcomm]

Hi Gemeinde,

hatte die Frage vor einiger Zeit schonmal gestellt, aber es ist mir immer noch nicht klar.

Wenn ich, wie heute im Lenny Kernelupdates installiere, muss ich dann neu booten, insbesondere wenn die selbe Version nur aktualisiert wird? Zumindest gibt aptitude ja keinerlei Hinweis darauf, dass ein Reboot erforderlich wäre.

Code: Alles auswählen

aptitude safe-upgrade
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut       
Lese Status-Informationen ein... Fertig
Lese erweiterte Statusinformationen      
Initialisiere Paketstatus... Fertig
Lese Task-Beschreibungen... Fertig 
Die folgenden Pakete werden aktualisiert:
  linux-image-2.6.26-2-amd64 linux-libc-dev 
2 Pakete aktualisiert, 0 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert.
Muss 21,7MB an Archiven herunterladen. Nach dem Entpacken werden 2925kB frei werden.
Wollen Sie fortsetzen? [Y/n/?] 
Schreibe erweiterte Statusinformationen... Fertig
Hole:1 http://security.debian.org lenny/updates/main linux-image-2.6.26-2-amd64 2.6.26-26lenny4 [20,9MB]
Hole:2 http://security.debian.org lenny/updates/main linux-libc-dev 2.6.26-26lenny4 [757kB]
21,7MB wurden in 2s heruntergeladen (7375kB/s)
Vorkonfiguration der Pakete ...
(Lese Datenbank ... 31841 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereiten zum Ersetzen von linux-image-2.6.26-2-amd64 2.6.26-26lenny3 (durch .../linux-image-2.6.26-2-amd64_2.6.26-26lenny4_amd64.deb) ...
The directory /lib/modules/2.6.26-2-amd64 still exists. Continuing as directed.
Done.
Entpacke Ersatz für linux-image-2.6.26-2-amd64 ...
Running postrm hook script /usr/sbin/update-grub.
Updating /boot/grub/grub.cfg ...
Found linux image: /boot/vmlinuz-2.6.26-2-amd64
Found initrd image: /boot/initrd.img-2.6.26-2-amd64
done
Vorbereiten zum Ersetzen von linux-libc-dev 2.6.26-26lenny3 (durch .../linux-libc-dev_2.6.26-26lenny4_amd64.deb) ...
Entpacke Ersatz für linux-libc-dev ...
Richte linux-image-2.6.26-2-amd64 ein (2.6.26-26lenny4) ...
Running depmod.
Running mkinitramfs-kpkg.
Not updating initrd symbolic links since we are being updated/reinstalled 
(2.6.26-26lenny3 was configured last, according to dpkg)
Not updating image symbolic links since we are being updated/reinstalled 
(2.6.26-26lenny3 was configured last, according to dpkg)
Running postinst hook script update-grub.
Updating /boot/grub/grub.cfg ...
Found linux image: /boot/vmlinuz-2.6.26-2-amd64
Found initrd image: /boot/initrd.img-2.6.26-2-amd64
done
Richte linux-libc-dev ein (2.6.26-26lenny4) ...
Paketlisten werden gelesen... Fertig             
Abhängigkeitsbaum wird aufgebaut       
Lese Status-Informationen ein... Fertig
Lese erweiterte Statusinformationen      
Initialisiere Paketstatus... Fertig
Lese Task-Beschreibungen... Fertig 

Aktueller Status: 0 Aktualisierungen [-2].

Danke, xcomm

[peschmae]

Wenn sich das eigentliche Kernelimage unterscheidet (also das was in /boot/vmlinuz-blabla ist), dann musst du neu booten um den neuen Kernel zu benutzen. Ob man Änderungen am Kernelimage irgendwie von aussen erkennen kann (z.B. an der Versionsnummerierung) weiss ich gerade nicht.

MfG Peschmä

[cirrussc]

Theoretisch müsste man sogar alle Dateien (vmlinuz, initrd, module) vom laufenden Kernel löschen können, und er sollte weiter laufen (bis ein Modul geladen werden muss, ...).

Ob man Änderungen am Kernelimage irgendwie von aussen erkennen kann (z.B. an der Versionsnummerierung) weiss ich gerade nicht.

Man sollte davon aus gehen; vielleicht mit selbst angefertigten Checksummen überprüfen.

[syssi]

Wenn sich das eigentliche Kernelimage unterscheidet (also das was in /boot/vmlinuz-blabla ist), dann musst du neu booten um den neuen Kernel zu benutzen. Ob man Änderungen am Kernelimage irgendwie von aussen erkennen kann (z.B. an der Versionsnummerierung) weiss ich gerade nicht.

Da hilft nur Changelog lesen und schauen, was der neue Kernel so mit sich bringt. Beim besagten Kernel aus Lenny sollte man davon ausgehen, dass es sicherheitskritische Dinge sind, die bis ins Mark reichen. Werden beispielsweise nur Module gefixt, die man selbst nicht nutzt/geladen hat, dann kann man sich auch schonmal einen Reboot sparen.

[xcomm]

Hi Gemeinde,

danke schon mal für die Antworten.

Warum aptitude nicht in irgendeiner Weise auf die Problematik eingeht, wundert mich.

Regards, Jan

[peschmae]

Im allgemeinen sind auch kernel updates ohne reboot möglich - ksplice ist das Stichwort. Ob das mit debian kernel images geht weiss ich nicht. Wohl kaum

Warum aptitude nicht in irgendeiner Weise auf die Problematik eingeht, wundert mich.

Ich vermute mal, dass das einfach vorausgesetzt wird, steht ja in den entsprechenden Manuals...

Eventuell gibts auch eine debconf Meldung mit so niedriger Priorität dass die nicht angezeigt wird. Alles andere würde mich auch eher nerven...

MfG Peschmä

[xcomm]

Hi Gemeinde,

na, nachdem ich das DSA 2310-1 gelesen habe, werde ich erstmal auf einen Haufen Reboots wegen diesem Update verzichten.

Danke, xcomm

CVE-2009-4067

Rafael Dominguez Vega of MWR InfoSecurity reported an issue in the auerswald
module, a driver for Auerswald PBX/System Telephone USB devices. Attackers
with physical access to a system's USB ports could obtain elevated
privileges using a specially crafted USB device.

CVE-2011-0712

Rafael Dominguez Vega of MWR InfoSecurity reported an issue in the caiaq
module, a USB driver for Native Instruments USB audio devices. Attackers
with physical access to a system's USB ports could obtain elevated
privileges using a specially crafted USB device.

CVE-2011-1020

Kees Cook discovered an issue in the /proc filesystem that allows local
users to gain access to sensitive process information after execution of a
setuid binary.

CVE-2011-2209

Dan Rosenberg discovered an issue in the osf_sysinfo() system call on the
alpha architecture. Local users could obtain access to sensitive kernel
memory.

CVE-2011-2211

Dan Rosenberg discovered an issue in the osf_wait4() system call on the
alpha architecture permitting local users to gain elevated privileges.

CVE-2011-2213

Dan Rosenberg discovered an issue in the INET socket monitoring interface.
Local users could cause a denial of service by injecting code and causing
the kernel to execute an infinite loop.

CVE-2011-2484

Vasiliy Kulikov of Openwall discovered that the number of exit handlers that
a process can register is not capped, resulting in local denial of service
through resource exhaustion (cpu time and memory).

CVE-2011-2491

Vasily Averin discovered an issue with the NFS locking implementation. A
malicious NFS server can cause a client to hang indefinitely in an unlock
call.

CVE-2011-2492

Marek Kroemeke and Filip Palian discovered that uninitialized struct
elements in the Bluetooth subsystem could lead to a leak of sensitive kernel
memory through leaked stack memory.

CVE-2011-2495

Vasiliy Kulikov of Openwall discovered that the io file of a process' proc
directory was world-readable, resulting in local information disclosure of
information such as password lengths.

CVE-2011-2496

Robert Swiecki discovered that mremap() could be abused for local denial of
service by triggering a BUG_ON assert.

CVE-2011-2497

Dan Rosenberg discovered an integer underflow in the Bluetooth subsystem,
which could lead to denial of service or privilege escalation.

CVE-2011-2525

Ben Pfaff reported an issue in the network scheduling code. A local user
could cause a denial of service (NULL pointer dereference) by sending a
specially crafted netlink message.

CVE-2011-2928

Timo Warns discovered that insufficient validation of Be filesystem images
could lead to local denial of service if a malformed filesystem image is
mounted.

CVE-2011-3188

Dan Kaminsky reported a weakness of the sequence number generation in the
TCP protocol implementation. This can be used by remote attackers to inject
packets into an active session.

CVE-2011-3191

Darren Lavender reported an issue in the Common Internet File System (CIFS).
A malicious file server could cause memory corruption leading to a denial of
service.