Fakt nevim, jestli se nas tyka: RDMA/mlx5: Fix page_size variable overflow (CVE-2025-22091)
Navic si nemyslim, ze bychom meli zamestnat znalce linuxiho kernelu jen proto, abychom mohli instalovat zaplatovane verze s mensi frekvenci.
Začaly se ty věci poctivěji evidovat jako CVE a řešit samostatně. Sleduji
https://lore.kernel.org/linux-cve-announce/, je toho prostě násobně víc než vloni, kdy asi řada bezpečnostních oprav skončila jako běžná kumulovaná úprava.
Na to, abys mohl třídit opravy podle driverů nebo subsystémů, které používáš, nepotřebuješ nějak velkého znalce linuxového kernelu, potřebuješ prachobyčejného linux admina, který umí pracovat s linuxem.
Jak to děláme my? Limitně se aktualizuje vše v nějakém pravidelném intervalu (třeba 3 měsíce), ale urgentně se aktualizuje jen to, co má reálný vliv a co se používá, takže opravu RDMA/mlx5 nebudu prioritizovat na linux stroj, kde mám jen ethernet karty. Tohle rozlišování bylo potřeba dělat odjakživa, stejně tak fungujeme i na Windows, kdy se musíme probírat aktualizacemi a rozhodovat, co a jak prioritizujeme.
U těch hodně kritických zranitelností využíváme kexec pro aplikaci patche na kernel (má to samozřejmě dopad na všechny procesy, které se musí restartovat). Snaha v posledních letech se odpovědněji chovat k systémům nás postupně dovedla k tomu, že vše máme dvojmo, resp. že minimalizujeme stav, kdy máme jen jediný server s nějakou službu a vše zdvojujeme, automatizujeme, aby se mohl udělat restart bez výpadku a hlavně odzkoušet případné problémy dopředu. Virtualizace a kontejnerizace tomu jde naproti.
17 Odpovědí
36851 Zhlédnutí