Я выполнил Инспектора AWS на экземпляре EC2, который запускает Ubuntu 16.04 (ядро 4.16.0), некоторые найденные проблемы, и мне не удалось зафиксировать их даже после выполнения необходимых действий.
Вот ошибки:
Описание: функция blkcg_init_queue в block/blk-cgroup.c в ядре Linux прежде 4.11 позволяет локальным пользователям вызывать отказ в обслуживании (удвойтесь свободный), или возможно окажите неуказанное другое влияние путем инициирования отказа создания.
Рекомендация: Используйте функцию обновления своей Операционной системы для обновления пакета linux-image-4.4.0-124-generic-0:4.4.0-124.148. Для получения дополнительной информации см. https://cve.mitre.org/cgi-bin/cvename.cgi? name=CVE-2018-7480
Описание: В пакете крона через 3.0pl1-128 на Debian, и через 3.0pl1-128ubuntu2 на Ubuntu, postinst обслуживающий сценарий допускает group-crontab-to-root расширение полномочий через нападения символьной ссылки на небезопасное использование показанных и chmod программ.
Рекомендация: Используйте функцию обновления своей Операционной системы для обновления пакета cron-0:3.0pl1-128ubuntu2. Для получения дополнительной информации см. https://cve.mitre.org/cgi-bin/cvename.cgi? name=CVE-2017-9525
Описание: inffast.c в zlib 1.2.8 мог бы позволить контекстно-зависимым взломщикам оказывать неуказанное влияние путем усиления неподходящей адресной арифметики с указателями.
Рекомендация: Используйте функцию обновления своей Операционной системы для обновления пакета zlib1g-1:1.2.8.dfsg-2ubuntu4.1, zlib1g-dev-1:1.2.8.dfsg-2ubuntu4.1. Для получения дополнительной информации см. https://cve.mitre.org/cgi-bin/cvename.cgi? name=CVE-2016-9841
Испытанное ядро 4.14 и 4.15 без удачи. Установленный необходимое освобождает без удачи также.
Как я могу зафиксировать это?
Обновление ядра должно работать, но необходимо отметить, что оно смотрит на все установленные ядра, не только рабочее ядро.
Мне везло с:
AWS-RunShellScript —
#!/bin/bash
package-cleanup --oldkernels --count=1 -y || purge-old-kernels --keep 1 -qy
Возможное исправление для крона: обновление посредством debian пакета.
dpkg -i http://http.us.debian.org/debian/pool/main/c/cron/cron_3.0pl1-130_amd64.deb
dpkg -i http://http.us.debian.org/debian/pool/main/z/zlib/zlib1g_1.2.11.dfsg-1_amd64.deb
Это не работало на другой пакет, я застрял с (дб человека), который... завершил наличие кроличьей норы зависимостей..., таким образом, я теперь смотрю на обновление до 18.04LTS (который все еще не зафиксировал крона, но все остальное кажется хорошим).