(gelöst) XEN mit neuestem Kernel unbenutzbar (Squeeze)

[syssi]

Hi,

heute ist mir eine domU aus dem Netz gekippt. Das System selbst lief, jedoch war es nicht mehr per Netzwerk erreichbar. Logcheck hat kurz darauf die Ursache zu Tage gefoerdert:

Code: Alles auswählen

Apr 29 09:00:12 mista kernel: [1395419.554312] vif2.0: Frag is bigger than frame.
Apr 29 09:00:12 mista kernel: [1395419.554340] vif2.0: fatal error; disabling device

Ein Reboot der domU hatte zur Folge, dass die Maschine "pausiert" (-p----) wird und nicht mehr startet. Gleiches wird in folgendem Bug-Report beschrieben: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=701744

Kurzum:

Conclusion: it's the kernel...

Working:
- kernel: linux-image-2.6.32-5-xen-amd64_2.6.32-46_amd64.deb
- hypervisor: xen-hypervisor-4.0-amd64_4.0.1-5.4_amd64.deb, xen-hypervisor-4.0-amd64_4.0.1-5.6_amd64.deb

Not Working kernels:
- linux-image-2.6.32-5-xen-amd64_2.6.32-48_amd64.deb
- linux-image-2.6.32-5-xen-amd64_2.6.32-48squeeze1_amd64.deb

So, I'm going back to linux-image-2.6.32-5-xen-amd64_2.6.32-46_amd64.deb...

Das letzte Sicherheitsupdate des Kernels foerdert leider dieses Problem zu Tage. Ich hoffe sehr, dass dieses Problem geloest wird. Zu Lenny-Zeiten gab es leider einen Software-Raid-Bug, welcher nie gefixt wurde und dom0's bei hoher I/O-Last zum Stillstand brachten. Ich hoffe stark, dass es sich bei diesem Bug nicht um einen aehnlichen Kandidaten handelt.

Hoffentlich verlaeuft der restliche Montag ruhiger.

Gruss syssi

[rendegast]

Ich hoffe stark, dass es sich bei diesem Bug nicht um einen aehnlichen Kandidaten handelt.

Wäre böse, macht einen schlechten Eindruck bei den vhost-Providern.
Blöd ist auch die Meldung im bug-Report, daß es auch den wheezy-Kernel betrifft, damit ja auch die Alternative backports-Kernel.

It might help to disable TSO and GSO inside the Linux PV guest with ethtool.
ethtool -K eth0 tso off gso off

With some intelligence in the NIC, the host CPU can hand over the 64 KB of data to the NIC in a single transmit request, the NIC can break that data down into smaller segments of 1448 bytes, add the TCP, IP, and data link layer protocol headers -- according to a template provided by the host's TCP/IP stack -- to each segment, and send the resulting frames over the network.

Hängt es vielleicht mit einem speziellen Treiber (der Netzwerkkarte) zusammen? Bsp.:

Code: Alles auswählen

# modinfo ./e1000e.ko
filename:       /mnt/lib/modules/2.6.32-5-xen-amd64/kernel/drivers/net/e1000e/./e1000e.ko
version:        1.2.20-k2

$ /sbin/modinfo e1000e
filename:       /lib/modules/3.2.0-4-686-pae/kernel/drivers/net/ethernet/intel/e1000e/e1000e.ko
version:        1.5.1-k

Es gäbe als Alternative den Treiber direkt von intel, Versionen 2.2.14 und 2.3.2.
https://downloadcenter.intel.com/Search ... ord=e1000e
(Der Link 2.1.4 führt zum download-center zurück)





--------------------------------------------------------------

- linux-image-2.6.32-5-xen-amd64_2.6.32-48squeeze1_amd64.deb

Ich dachte immer, 2.6.32-48 würde dem vanilla 2.6.32.48 gleichkommen, aber

linux-2.6 (2.6.32-48squeeze1) stable-security; urgency=high
...
linux-2.6 (2.6.32-48) stable; urgency=low
...
linux-2.6 (2.6.32-47) stable; urgency=low
....
* Add longterm release 2.6.32.60, including:
...
For the complete list of changes, see:
http://www.kernel.org/pub/linux/kernel/ ... -2.6.32.60
...

[syssi]

Mit dem Treiber e1000 hat es nichts zu tun. In meinem Server steckt eine r8169. Ich vermute, dass sich das Problem in 46squeeze1 eingeschlichen hat:

linux-2.6 (2.6.32-46squeeze1) stable-security; urgency=high
[...]
* xen: netback: shutdown the ring if it contains garbage (CVE-2013-0216)
* xen: netback: correct netbk_tx_err() to handle wrap around (CVE-2013-0217)

Gruss syssi

[syssi]

Es gibt Fortschritte und das Problem ist hoffentlich bald geloest. Auch fuer Squeeze: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=701744

[MySign]

Hallo zusammen

Hat jemand den Patch auf linux-image-2.6.32-5-xen-amd64_2.6.32-48squeeze4~ijc0_amd64 bereits installiert? Wenn ja, welches sind die richtigen Patches und wo muss ich diese installieren?
Mein System Linux version 2.6.32-5-xen-amd64 (Debian 2.6.32-48squeeze3)

Welches Patches muss ich installieren?
linux-headers-2.6.32-5-xen-amd64_2.6.32-48squeeze4~ijc0_amd64.deb
linux-image-2.6.32-5-xen-amd64_2.6.32-48squeeze4~ijc0_amd64.deb
oder beide?

Auf dom0 oder auch auf den DomU's?

Hier sind die deb-Packages zum runterladen:
http://xenbits.xen.org/people/ianc/debi ... 4/squeeze/

Danke und Grüsse,
Chris

[syssi]

Du musst der Pakete der dom0 ersetzen. Schau einfach mal, was ein "dpkg -l | grep 2.6.32-5-xen" liefert. Das sollten dann auch die Pakete sein, die du gegen die von Ian ersetzt. Mindestens also das entsprechende linux-image (Kernel).

[CKeen]

Was ist XEN genau und wofür soll es gut sein ?

[rendegast]

Es ist das Computersystem von XXX und X-Men.
Außerdem regelt es das Wetter in Xanadu.

Über xooxle finden sich
http://xen.org/ -> http://www.xenproject.org/
http://de.wikipedia.org/wiki/Xen

[syssi]

Was ist XEN genau und wofür soll es gut sein ?

Du bist damit in der Lage virtuelle Maschinen zu betreiben. Wenn man die Feinheiten weg laesst, dann kann man XEN mit KVM, Virtualbox oder VMware vergleichen.

[CKeen]

Danke.

[syssi]

Es gab ein Security-Update, welches das Problem aus der Welt schafft:

Code: Alles auswählen

linux-2.6 (2.6.32-48squeeze4) squeeze-security; urgency=high

  [ Ian Campbell ]
  * Fix regression in "xen: netback: shutdown the ring if it contains garbage
    (CVE-2013-0216)" (Closes: #701744)

  [ Moritz Muehlenhoff ]
  * drivers/cdrom/cdrom.c: use kzalloc() for failing hardware (CVE-2013-2164)
  * ipv6: ip6_sk_dst_check() must not assume ipv6 dst (CVE-2013-2232)	
  * af_key: fix info leaks in notify messages (CVE-2013-2234)
  * af_key: initialize satype in key_notify_policy_flush() (CVE-2013-2237)
  * block: do not pass disk names as format strings (CVE-2013-2851)
  * b43: stop format string leaking into error msgs (CVE-2013-2852)
  * sctp: Use correct sideffect command in duplicate cookie handling 
    (CVE-2013-2206)
  * kernel/signal.c: stop info leak via the tkill and the tgkill syscalls
    (CVE-2013-2141)
  * HID: validate HID report id size (CVE-2013-2888)
  * HID: check for NULL field when setting values
  * Information leak in openvz quota implementation (CVE-2013-2239)

  [ dann frazier ]
  * HID: pantherlord: validate output report details (CVE-2013-2892)

 -- dann frazier <dannf@debian.org>  Mon, 23 Sep 2013 12:36:26 -0600