玄人志向 玄箱 Debian Jessie カーネル 3.16.43-2+deb8u3 へアップデート

Debian Jessie のカーネルがアップデート(3.16.43-2+deb8u2 から 3.16.43-2+deb8u3 へ)しました。このため玄箱の 初代 と HG 用のカーネルをアップデート・ビルドしました。

今回も一般用のカーネルと無線 LAN 対応のカーネルをアップデート・ビルドしました。

.

アップデート方法

新規インストールする場合には、次の記事をご覧ください。

玄人志向 玄箱用 Debian Jessie 通常版(カーネル3.16 版)
https://densankiblog.wordpress.com/2016/01/19/%e7%8e%84%e4%ba%ba%e5%bf%97%e5%90%91-%e7%8e%84%e7%ae%b1%e7%94%a8-debian-jessie-%e9%80%9a%e5%b8%b8%e7%89%88%ef%bc%88%e3%82%ab%e3%83%bc%e3%83%8d%e3%83%ab3-16-%e7%89%88%ef%bc%89/

 .

ダウンロード

ここでは通常版のカーネルのアップデート方法について記述します。無線 LAN 対応版のものは、ファイル名の途中に “-wifi-“ の文字があるファイルをダウンロードして、通常版と同じ手順でインストールしてください。

下記の玄箱用ファームウェア置き場から通常版の二つのファイルをダウンロードしてください。なお “OLD” のホルダには以前の古いファームウェアを保管しています。新しいファームウェアに何か障害があった場合に備えて残しています。

玄箱 Debian Jeesie のダウンロードサイト – グーグルドライブ
https://drive.google.com/folderview?id=0B5QdaY5lu2e3VlNQejlFYVBDS2c&usp=sharing

  • kuro-kern.tgz(通常版)
  • kuro-lib.tgz(通常版)
  • kuro-wifi-kern.tgz(wifi 対応版)
  • kuro-wifi-lib.tgz(wifi 対応版)

.

アップデート作業

アップデートの概要としては、Debian Jessie 3.16 で動作している玄箱へ、ダウンロードした二種類のファイルを FTP で転送した後、展開してインストールします。なおシリアルコンソールでアップデートを行うのが安全ですが、telnet 接続によっても作業を行うことができます。

まず最初に作業パソコンから FTP でファームウェアを転送します。

 — 作業パソコン —
# ftp [玄箱の IP アドレス]
user : root, password : kuro
ftp> cd /jessie
ftp> put kuro-kern.tgz
ftp> put kuro-lib.tgz
ftp> quit

.

転送されたシステムファイルを解凍して、インストールします。

— 玄箱 —
# cd /jessie
# tar zxvf kuro-kern.tgz -C  /
# tar zxvf kuro-lib.tgz -C  /

.

再起動させた後、システムの更新を行ってください。

— 玄箱 —
# apt-get update
# apt-get upgrade
# reboot

.

以上でアップデートは終了です。念の為、カーネルのビルドの日付を確認しておくことをお奨めします。

— 玄箱 —
# uname -a
(通常版の場合)
Linux kurobox 3.16.43_Livingston #4 Sat Aug 19 02:17:47 JST 2017 ppc GNU/Linux

(無線 LAN 対応版の場合)
Linux kurobox 3.16.43_wifi_Livingston #4 Sat Aug 19 01:47:33 JST 2017 ppc GNU/Linux

.

Debian Jessie カーネル 3.16.43-2+deb8u3 へアップデート

Debian Jessie のカーネルがアップデート(3.16.43-2+deb8u2 から 3.16.43-2+deb8u3 へ)しました。

Linux カーネルの特権昇格、サービス拒否、情報漏えいなどの脆弱性が存在しているそうです。
“Several vulnerabilities have been discovered in the Linux kernel that may lead to a privilege escalation, denial of service or information leaks.”

Debian Security Advisory
DSA-3945-1 linux — security update
https://www.debian.org/security/2017/dsa-3945

.

弊ブログにて公開している無線 LAN アダプタのドライバ・モジュールを使用している読者さんは、モジュールの再インストールを行ってください。一緒に公開しているドライバ・モジュールのアップデート・スクリプトの modules-update.sh を使うと便利です。

# cd (ドライバ・モジュールを展開したディレクトリ)
# ./modules-update.sh

.

FreeBSD 10.3 の p21 (OpenSSH) アップデート

FreeBSD 10.3 へ p21 セキュリティ・アップデート (OpenSSH)が到着しました。その他、FreeBSD 11 系へ二点のエラッタ・アップデート(vnet, pf)が到着しました。

OpenSSH の脆弱性は、OpenSSH のビルトイン・パスワード認証(PasswordAuthentication)におけるパスワードの長さに制限が無いことが問題だそうです。攻撃者が長いパスワードを送信することによって OpenSSH サーバの CPU を異常に専有してしまうそうです。FreeBSD では、初期値として、このビルトイン・パスワード認証(PasswordAuthentication)が無効となっています。このパスワード認証(PasswordAuthentication)を有効にしているシステムでは影響を受けるそうです。パスワード認証(PasswordAuthentication)の有効・無効は以下の設定ファイルです。

/etc/ssh/sshd_config

そして VNET のエラッタは POSIX 非同期 I/O を使用するとカーネル・パニックになるそうです。

次に パケットフィルタ PF のエラッタは、housekeeping thread (pf_purge_thread) が初期化されていない変数を使用する可能性があるそうです。そのためゼロ除算などを行ってカーネル・パニックに陥る可能性があるそうです。そして「回避策はない」とエラッタの解説ページに記載されています(笑)。PF を使用していないシステムの場合には問題はなく、そして PF を使用しているシステムでも一度正常に起動したならば、次の再起動まで問題なく動作するのだそうです(爆笑)。

FreeBSD-SA-17:06.openssh
— OpenSSH Denial of Service vulnerability —
https://www.freebsd.org/security/advisories/FreeBSD-SA-17:06.openssh.asc

FreeBSD-EN-17:07.vnet
— VNET kernel panic with asynchronous I/O —
https://www.freebsd.org/security/advisories/FreeBSD-EN-17:07.vnet.asc

FreeBSD-EN-17:08.pf
— pf(4) housekeeping thread causes kernel panic —
https://www.freebsd.org/security/advisories/FreeBSD-EN-17:08.pf.asc

.

/usr/src/UPDATING の内容

20170810 p21
FreeBSD-SA-17:06.openssh
— Fix OpenSSH Denial of Service vulnerability. [SA-17:06]

 .

ソースツリーの更新

subversion でソースツリーを更新しました。

# svn update /usr/src
Updating '/usr/src':
U /usr/src/UPDATING
U /usr/src/crypto/openssh/auth-passwd.c
U /usr/src/sys/conf/newvers.sh
Updated to revision 322368.

.

ユーザランドの再ビルド

今回のアップデートでは、ユーザランドの再ビルドが必要です。

# cd /usr/src
# make buildworld

 .

ユーザランドのインストール

# make installworld

 .

マシンの再起動

# reboot

.

Debian Stretch 9.1, Jessie 8.9 へマイナーアップグレード

Debian Stretch が 9.0 から 9.1 へ、Debian Jessie が 8.8 から 8.9 へマイナー・アップグレードしました。 Debian Stretch はカーネルのアップデート(4.9+80 から 4.9+80+deb9u1 へ)がありましたが、Debian Jessie ではカーネルのアップデートは存在しませんでした。以前より Debian Jessie はシステムのマイナー・アップグレードから遅れてカーネルのアップデートが到着することが多く、今回もそうなるのではないかと思われます。