Failles de security Linux?

Il y a quelques time, j'ai commencé un projet embedded en utilisant le kernel 3.2.10. Maintenant, le projet devrait entrer en production et le kernel stable est 3.2.16. Je préférerais ne pas mettre à jour quoi que ce soit pour éviter des incompatibilités, etc. mais si de sérieuses failles de security ont été branchées de 3.2.10 à 3.2.16, je dois le faire.

Où puis-je savoir si des vulnérabilités de security ont été connectées entre les deux versions? Je n'ai pas pu find la réponse dans des endroits évidents comme kernel.org.

Les vulnérabilités et les expositions courantes de MITRE sont un aspect à considérer. La page de search est ici . J'ai fait une search sur "linux kernel" et j'ai trouvé un tas, mais seulement un en 2012, qui est quand 3.2 serait sorti, non? Je ne suis pas très proche du développement du kernel Linux, mais je comprends que les développeurs du kernel Linux ont une attitude qui considère la plupart des «trous de security» comme des bogues de fiabilité ou quelque chose comme ça.

La plupart des problèmes de security du kernel ne peuvent être exploités qu'en chargeant des modules étranges ou rarement utilisés. (c'est vrai pour les deux dernières années où j'ai regardé de près les CVE Linux Kernel).

Exemples de modules:

  • IPX
  • AppleTalk
  • IPv6 (ce n'est pas étrange, mais a beaucoup de fonctionnalités)
  • Carte USB / ISDN

La façon la plus simple d'être prudent est de désactiver le twigment à chaud et / ou le chargement automatique du module. Cela devrait être facile sur un système embarqué.

En dehors de cela, vous n'êtes jamais sûr de nouvelles fonctionnalités – la plupart des CVE ont été centrés autour de nouveaux modules qui ont apporté de nouvelles fonctionnalités.

GLibC est un autre candidat pour de sérieux problèmes de security. Donc, si votre système embarqué autorise un shell, l'attaquant deviendra root – tôt ou tard.