linux 实时内核 Ubuntu,Ubuntu 18.04 LTS 接收到第一个实时内核补丁

Canonical为其最近发布的长期支持的Ubuntu 18.04 LTS(仿生海狸)操作系统发布了第一个实时内核补丁，以解决各种安全漏洞。

上周在5月25日发布的实时内核补丁适用于运行Linux 4.15内核的Ubuntu 18.04 LTS系统，以及运行Linux 4.4内核的Ubuntu 16.04.4 LTS和Ubuntu 14.04.5 LTS系统。它修补了由各种安全研究人员发现的四个安全漏洞。

其中，包括一个分支修剪逻辑问题(CVE-2017-17862)与Linux内核的Berkeley Packet Filter(BPF)实现，它可能允许本地攻击者导致拒绝服务 和hwsim_new_radio_nl函数中的内存泄漏(CVE-2018-8087)，这些内存泄漏可能导致本地用户导致拒绝服务(内存消耗)。

此外，内核live patch在处理ioctl()时处理Linux内核的ALSA(高级Linux声音体系结构)子系统中的竞争条件(CVE-2018-1000004)，这可能允许本地攻击者通过拒绝服务攻击。这个问题是Luo Quan和Wei Yang发现的。

EXT4文件系统实施中修复了另外两个问题

Linux内核的EXT4文件系统实施在此内核更新中收到了针对两个安全漏洞(CVE-2018-1092和CVE-2018-1093)的修补程序，解决问题的方式是ext4_iget和ext4_valid_block_bitmap函数，这些攻击者可能会导致拒绝服务精心制作的EXT4镜像。

我们敦促所有用户将其安装更新到新的实时内核修补程序版本。这些是Ubuntu 14.04.5 LTS(Trusty Tahr)系统的lts-4.4.0-124.148〜14.04.1，Ubuntu 16.04 LTS(Xenial Xerus)系统的4.4.0-124.148以及Ubuntu 18.04 LTS的4.15.0-20.21 (仿生海狸)系统。使用Canonical Livepatch Service的用户在应用新的实时内核修补程序后不必重新启动计算机。

要使用Canonical的Kernel Live Patch服务，您必须首先访问Canonical Livepatch Service网站，并通过注册Canonical Livepatch来生成凭证，然后安装livepatch守护程序并使用其中提供的说明启用它。 Ubuntu 18.04 LTS是第一个集成Canonical Livepatch Service的易用版本。

然而，Canonical建议用户也安装最新的内核安全更新，该更新可通过上述Ubuntu版本的主要软件存储库提供，因为它补偿了最近披露的更多安全漏洞，包括Specter Variant 4.更多关于最新Ubuntu内核的详细信息可用在这里和这里。