Ubuntu 20.04でksplice uptrackをテストしたところ、ライブカーネルにパッチが適用されることがわかりました。たとえば、
Effective kernel version is 5.4.0-139.156
uptrack-upgrade -y
The following steps will be taken:
Install [w4h8q11e] CVE-2023-20938: Use-after-free in the Android Binder deriver.
Installing [w4h8q11e] CVE-2023-20938: Use-after-free in the Android Binder deriver.
Your kernel is fully up to date.
Effective kernel version is 5.4.0-144.161
カーネルは最初は5.4.0-139でしたが、再起動せずに5.4.0-144に変更されました。私の質問は簡単です。 Linuxでカーネルの「ライブアップグレード」(例:5.4.0-144から5.10.0-121へ)を可能にする「パッチ」またはシステムはありますか?数年前、この問題に対するIntelパッチについて聞きました。
答え1
ライブカーネルパッチは、カーネルバージョンをアップグレードするのではなく、脆弱性を修正するように設計されています。 5.4.0-139が5.4.0-144に変わるのは珍しい現象です。たぶんUbuntuは、単一のカーネルバージョン内ですべてのモジュールの互換性を維持するために何かをするかもしれませんが、いいえアップストリームで許可または可能と見なされます。 5.4.1を5.4.2に置き換えても、Upstreamはまだ再起動する必要があると主張します。
ライブパッチを介して新しいメジャーカーネルバージョンにアップグレードすることはまだ不可能です。
- カーネルは、ヘッダーや通常はABI / APIを含むバージョン間の主要な変更を確認します。
- コアカーネル構造に対するすべての変更はカーネルモジュールに反映されるため、他のカーネルバージョンと互換性がありません。
ライブパッチはカーネルメモリイメージを変更します。ディスクのモジュールは変更できません。