Nieuws:

We zijn er weer.

Na lange tijd van afwezigheid zijn we er weer  :laugh:
We hebben alle wachtwoorden gereset, je oude wachtwoord werkt niet meer.Je moet via het "wachtwoord vergeten"-linkje je wachtwoord resetten. Je krijgt hiervoor een mailtje op het adres dat je bij ons geregistreerd hebt.

De komende tijd zijn we nog druk bezig om de rest van de site op te bouwen, dus het kan zijn dat sommige onderdelen (tijdelijk) niet werken.

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Canonical Livepatch  (gelezen 223 keer)

Offline kfboerne

  • Lid
  • Steunpunt: Nee
Canonical Livepatch
« Gepost op: 2018/12/19, 13:25:41 »
Ik ontdekte vandaag Canonical Livepatch voor 18.04 LTS waardoor er kernel updates plaatsvinden zonder dat een reboot nodig is :
https://www.addictivetips.com/ubuntu-linux-tips/enable-live-patching-on-ubuntu-18-04/
Handig uiteraard, echter wat mij verbaasde is dat je het slechts op maximaal 3 pc's gratis kan gebruiken. Daarna is het niet meer gratis. Misschien dat ik iets mis ???

Hebben gebruikers ervaring met Livepatch? Werkt het goed?
Een boek doet het altijd...

Offline wowo

  • Lid
  • Steunpunt: Nee
Re: Canonical Livepatch
« Reactie #1 Gepost op: 2018/12/19, 16:51:40 »
Ik gebruik Canonical Livepatch al een tijdje (sinds de installatie) maar ik heb geen idee wat het effect hiervan is geweest.
Kan ik ergens (via logfiles of zo) er achter komen wat het mogelijke voordeel is geweest?
Desktop Ubuntu 18.04 LTS

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Canonical Livepatch
« Reactie #2 Gepost op: 2018/12/19, 18:55:38 »
Ik gebruik Canonical Livepatch al een tijdje (sinds de installatie) maar ik heb geen idee wat het effect hiervan is geweest.
Kan ik ergens (via logfiles of zo) er achter komen wat het mogelijke voordeel is geweest?
Het enige voordeel is, dat je je computer niet hoeft te herstarten na installatie van een nieuwe systeemkern, wanneer je je computer meteen wilt laten draaien op die nieuwe systeemkern.

Kortom: zeker interessant voor serverbeheerders, maar totaal niet voor "gewoon" bureaubladgebruik.  =D

Offline jan11000

  • Lid
  • Steunpunt: Nee
Re: Canonical Livepatch
« Reactie #3 Gepost op: 2018/12/19, 20:11:12 »
Dit is vooral handig als je de pc altijd aan laat staan.
En dan komen de updates automatisch, en je hoeft niet te rebooten, wat soms moet.

Offline kfboerne

  • Lid
  • Steunpunt: Nee
Re: Canonical Livepatch
« Reactie #4 Gepost op: 2018/12/20, 14:06:51 »
Kortom: zeker interessant voor serverbeheerders, maar totaal niet voor "gewoon" bureaubladgebruik.  =D

Dan skip ik Livepatch. Thx.
Een boek doet het altijd...

Offline wowo

  • Lid
  • Steunpunt: Nee
Re: Canonical Livepatch
« Reactie #5 Gepost op: 2018/12/21, 12:00:55 »
Ik gebruik Canonical Livepatch al een tijdje (sinds de installatie) maar ik heb geen idee wat het effect hiervan is geweest.
Kan ik ergens (via logfiles of zo) er achter komen wat het mogelijke voordeel is geweest?
Ik heb mijn desktop vaak langdurig aanstaan en nu zie ik dat ik af en toe een melding krijg in het meldingen/notificatie menu bijvoorbeeld:
Canonical Livepatch
17 Livepatch updates have been succesfully applied.

Zoiets bedoelde ik nu:
Ik wordt aldus achteraf geïnformeerd dat er wat gebeurd is.
Ik weet alleen alleen nog alleen niet wat...  Dus nog even verder zoeken.
Desktop Ubuntu 18.04 LTS

Offline HWE64

  • Lid
  • Steunpunt: Nee
Re: Canonical Livepatch
« Reactie #6 Gepost op: 2018/12/21, 12:07:04 »
Het enige voordeel is, dat je je computer niet hoeft te herstarten na installatie van een nieuwe systeemkern, wanneer je je computer meteen wilt laten draaien op die nieuwe systeemkern.
Windows trucje????
Niet panikeren, er is een Ubuntuforum.

Desktop pentium 4, 4GB, dualboot Xubuntu 18.04.1 LTS /W10 .  Laptop Toshiba Satallite C855 I5, 8GB, Xubuntu 18.04.1LTS . Desktop HP Compaq DC5750 AMD64, AMD Athlon X64 X2  2,1GHz RAM 3GB HDD 80GB, Test PC, Xubuntu 18.04.1 LTS /Linux Mint 19.1 Xfce (beginneling)

Offline wowo

  • Lid
  • Steunpunt: Nee
Re: Canonical Livepatch
« Reactie #7 Gepost op: 2018/12/21, 12:11:19 »
Met het volgende commando kan ik in ieder geval nagaan wat die laatste 17 livepatches geweest zijn:
canonical-livepatch status --verboseIk krijg dan de volgende melding:
client-version: 8.1.0
machine-id: xxxxxxxx
machine-token: xxxxxxxx
architecture: x86_64
cpu-model: Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz
last-check: 2018-12-21T11:15:41.768792349+01:00
boot-time: 2018-12-21T11:15:36+01:00
uptime: 47m52s
status:
- kernel: 4.15.0-42.45-generic
  running: true
  livepatch:
    checkState: checked
    patchState: applied
    version: "46.3"
    fixes: |-
      * CVE-2017-13168
        An elevation of privilege vulnerability in the kernel scsi driver.
        Product: Android. Versions: Android kernel. Android ID A-65023233.
      * CVE-2018-10902
        It was found that the raw midi kernel driver does not protect against
        concurrent access which leads to a double realloc (double free) in
        snd_rawmidi_input_params() and snd_rawmidi_output_status() which are
        part of snd_rawmidi_ioctl() handler in rawmidi.c file. A malicious
        local attacker could possibly use this for privilege escalation.
      * CVE-2018-11412
        In the Linux kernel 4.13 through 4.16.11, ext4_read_inline_data() in
        fs/ext4/inline.c performs a memcpy with an untrusted length value in
        certain circumstances involving a crafted filesystem that stores the
        system.data extended attribute value in a dedicated inode.
      * CVE-2018-11506
        The sr_do_ioctl function in drivers/scsi/sr_ioctl.c in the Linux kernel
        through 4.16.12 allows local users to cause a denial of service
        (stack-based buffer overflow) or possibly have unspecified other impact
        because sense buffers have different sizes at the CDROM layer and the
        SCSI layer, as demonstrated by a CDROMREADMODE2 ioctl call.
      * CVE-2018-13406
        An integer overflow in the uvesafb_setcmap function in
        drivers/video/fbdev/uvesafb.c in the Linux kernel before 4.17.4 could
        result in local attackers being able to crash the kernel or potentially
        elevate privileges because kmalloc_array is not used.
      * CVE-2018-14633
        A security flaw was found in the chap_server_compute_md5() function in
        the ISCSI target code in the Linux kernel in a way an authentication
        request from an ISCSI initiator is processed. An unauthenticated remote
        attacker can cause a stack buffer overflow and smash up to 17 bytes of
        the stack. The attack requires the iSCSI target to be enabled on the
        victim host. Depending on how the target's code was built (i.e.
        depending on a compiler, compile flags and hardware architecture) an
        attack may lead to a system crash and thus to a denial-of-service or
        possibly to a non-authorized access to data exported by an iSCSI
        target. Due to the nature of the flaw, privilege escalation cannot be
        fully ruled out, although we believe it is highly unlikely. Kernel
        versions 4.18.x, 4.14.x and 3.10.x are believed to be vulnerable.
      * CVE-2018-14734
        drivers/infiniband/core/ucma.c in the Linux kernel through 4.17.11
        allows ucma_leave_multicast to access a certain data structure after a
        cleanup step in ucma_process_join, which allows attackers to cause a
        denial of service (use-after-free).
      * CVE-2018-15572
        The spectre_v2_select_mitigation function in arch/x86/kernel/cpu/bugs.c
        in the Linux kernel before 4.18.1 does not always fill RSB upon a
        context switch, which makes it easier for attackers to conduct
        userspace-userspace spectreRSB attacks.
      * CVE-2018-15594
        arch/x86/kernel/paravirt.c in the Linux kernel before 4.18.1 mishandles
        certain indirect calls, which makes it easier for attackers to conduct
        Spectre-v2 attacks against paravirtual guests.
      * CVE-2018-16276
        An issue was discovered in yurex_read in drivers/usb/misc/yurex.c in
        the Linux kernel before 4.17.7. Local attackers could use user access
        read/writes with incorrect bounds checking in the yurex USB driver to
        crash the kernel or potentially escalate privileges.
      * CVE-2018-16658
        An issue was discovered in the Linux kernel before 4.18.6. An
        information leak in cdrom_ioctl_drive_status in drivers/cdrom/cdrom.c
        could be used by local attackers to read kernel memory because a cast
        from unsigned long to int interferes with bounds checking. This is
        similar to CVE-2018-10940.
      * CVE-2018-17182
        An issue was discovered in the Linux kernel through 4.18.8. The
        vmacache_flush_all function in mm/vmacache.c mishandles sequence number
        overflows. An attacker can trigger a use-after-free (and possibly gain
        privileges) via certain thread creation, map, unmap, invalidation, and
        dereference operations.
      * CVE-2018-18445
        In the Linux kernel 4.14.x, 4.15.x, 4.16.x, 4.17.x, and 4.18.x before
        4.18.13, faulty computation of numeric bounds in the BPF verifier
        permits out-of-bounds memory accesses because
        adjust_scalar_min_max_vals in kernel/bpf/verifier.c mishandles 32-bit
        right shifts.
      * CVE-2018-18690
        In the Linux kernel before 4.17, a local attacker able to set
        attributes on an xfs filesystem could make this filesystem
        non-operational until the next mount by triggering an unchecked error
        condition during an xfs attribute change, because
        xfs_attr_shortform_addname in fs/xfs/libxfs/xfs_attr.c mishandles
        ATTR_REPLACE operations with conversion of an attr from short to long
        form.
      * CVE-2018-18710
        An issue was discovered in the Linux kernel through 4.19. An
        information leak in cdrom_ioctl_select_disc in drivers/cdrom/cdrom.c
        could be used by local attackers to read kernel memory because a cast
        from unsigned long to int interferes with bounds checking. This is
        similar to CVE-2018-10940 and CVE-2018-16658.
      * CVE-2018-6555
        The irda_setsockopt function in net/irda/af_irda.c and later in
        drivers/staging/irda/net/af_irda.c in the Linux kernel before 4.17
        allows local users to cause a denial of service (ias_object
        use-after-free and system crash) or possibly have unspecified other
        impact via an AF_IRDA socket.
      * CVE-2018-9363
        In the hidp_process_report in bluetooth, there is an integer overflow.
        This could lead to an out of bounds write with no additional execution
        privileges needed. User interaction is not needed for exploitation.
        Product: Android Versions: Android kernel Android ID: A-65853588
        References: Upstream kernel.
Desktop Ubuntu 18.04 LTS