Dieser Beitrag erklärt die Bedeutung hinter der Ausgabe des Befehls „ksplice kernel uname“ (Ksplice Enhanced Client) oder „uptrack-uname“ (Ksplice Uptrack Client) und wie die effektive Kernel-Versionszeichenfolge von Ksplice zu interpretieren ist.
Die effektive Kernel-Version, die von Ksplice gemeldet wird, wenn der Befehl „ksplice kernel uname -r ausgeführt wird “ spiegelt die Sicherheitsposition des Kernels wider, der basierend auf den Patches ausgeführt wird, die von Ksplice angewendet wurden. Diese effektive Kernel-Version unterscheidet sich normalerweise von der Version des gebooteten Kernels und soll den aktuellen Zustand des Kernels im Hinblick auf potenzielle Schwachstellen oder kritische Fehler widerspiegeln.
Falls ein gebooteter Kernel auf eine Version gesperrt ist, die die ursprünglichen Patches für die Spectre/Meltdown-Schwachstellen nicht erhalten hat, können diese Patches nicht mit Ksplice angewendet werden. Obwohl Ksplice den Kernel weiterhin mit Patches für nachfolgende CVEs aktualisiert, wird die effektive Kernelversion nicht aktualisiert, um genau widerzuspiegeln, dass der aktuell geladene Kernel immer noch anfällig für die Spectre/Meltdown-Schwachstellen ist, selbst wenn er für andere potenzielle Angriffsvektoren gepatcht wurde.
Sie können Ihre gebootete Kernel-Version überprüfen, indem Sie „uname -r“ ausführen. Vergleichen Sie es mit der von Ksplice gemeldeten Version. Wenn diese Versionen übereinstimmen, ist Ihr Kernel wahrscheinlich immer noch anfällig für Spectre/Meltdown und Sie sollten erwägen, den Kernel zu aktualisieren und neu zu starten, damit Ksplice voll wirksam ist.
Sie können überprüfen, welche spezifischen CVE-Schwachstellen und kritischen Fehlerbehebungen auf den laufenden Kernel angewendet wurden, indem Sie „ksplice kernel show“ ausführen “.