Блог по CloudLinux OS - обновлено ядро ​​CloudLinux 6
Блог CloudLinux OS

Обновлено ядро ​​CloudLinux 6

Обновлено ядро ​​CloudLinux 6

Обновить [Jan 10, 2018 12: 30pm PT]

Наша команда по-прежнему борется с ошибками Meltdown / Spectre. Пожалуйста, следуйте блог-блог нашего генерального директора для получения дополнительных обновлений. В этом blogpost мы ранее предложили перейти на CloudLinux 6 Hybrid для тех клиентов с ядром CloudLinux 6, которые сталкивались с проблемами в Xen PV. Однако похоже, что ни один из ядер CloudLinux не запускается на Xen PV (включая ядра CL6, CL6h и CL7). Пока еще не совсем ясно, что вызывает проблему, и, скорее всего, ошибка может быть связана с исправлениями RHEL.
Приносим извинения за неудобства. Наша команда неспокойна, и мы прилагаем все усилия, чтобы выполнить исправление как можно скорее. Мы рекомендуем вам подождать, пока решение не будет найдено. В качестве альтернативы вы можете перейти от Xen PV к Xen HVM, у нас не было никаких претензий к последнему.

Обновить [Jan 9, 2018 6: 52am PT]

Мы выпустили бета-версию обновленного и более стабильного ядра CL6 2.6.32-896.16.1.lve1.4.50, которое могло бы помочь в таких проблемах, как неустойчивая работа дисковых квот. Однако это ядро ​​не решит проблемы, которые затрагивают пользователей ядер CentOS / RHEL, и проблемы, возникающие при запуске VM в гипервизоре Xen (что похоже на проблему самого исправления CVE).

Команда для обновления:

yum clean all --enablerepo=cloudlinux-updates-testing && yum install kernel-2.6.32-896.16.1.lve1.4.50.el6 --enablerepo=cloudlinux-updates-testing

Оригинал сообщения:

Обновленная версия ядра CloudLinux 6 2.6.32-896.16.1.lve1.4.49 с исправлениями для уязвимостей Meldown и Spectre доступны для загрузки из нашего репозитория.

Список изменений:

  • добавлены исправления для атак Meltdown и Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754);
  • KMODLVE-142: повторная синхронизация статистики перед возвратом IO;
  • KMODLVE-140: исправить панику с загрузкой модуля;
  • KMODLVE-139: добавляет возможность устанавливать уровень отладки во время загрузки;
  • KMODLVE-138: правильно проверить возвращаемое значение lve_cgroup_kernel_open;
  • KMODLVE-134: очистка кода для лучшего охвата тестированием;
  • KMODLVE-131: улучшает обработку идентификаторов ошибок;
  • KMODLVE-127: реализация lvp_lve_move.

Чтобы обновить ядро, выполните следующую команду:

yum clean all && yum update kernel-firmware && yum install kernel-2.6.32-896.16.1.lve1.4.49.el6
Обновлен PHP для EasyApache 4
Бета: гибридное ядро ​​CloudLinux 7 и CloudLinux 6 ...

Комментарии 19

Выглядит нестабильно - 6 из 6 (разных) серверов имел серьезные проблемы - потребовался жесткий сброс, чтобы иметь возможность загружать предыдущую версию ядра.

Выглядит нестабильно - 6 из 6 (разных) серверов имел серьезные проблемы - потребовался жесткий сброс, чтобы иметь возможность загружать предыдущую версию ядра.

Softlayer сообщает, что серверы не загружаются после этого обновления. Не могли бы вы посмотреть на это, пожалуйста?

Softlayer сообщает, что серверы не загружаются после этого обновления. Не могли бы вы посмотреть на это, пожалуйста?

Привет Алекс,

мы выпустили новое бета-ядро CLoudLinux 6, и мы будем продолжать обновлять этот пост. Посмотрите, может ли это быть полезным в вашем случае. Если нет, я рекомендую вам обратиться в нашу службу поддержки [Электронная почта защищена] с более подробной информацией. У вас будет более глубокий взгляд на проблему, с которой вы столкнулись.

спасибо

Привет, Алекс, мы выпустили новое бета-ядро CLoudLinux 6, и мы будем продолжать обновлять этот пост. Посмотрите, может ли это быть полезным в вашем случае. Если нет, я рекомендую вам обратиться в нашу службу поддержки [Электронная почта защищена] с более подробной информацией. У вас будет более глубокий взгляд на проблему, с которой вы столкнулись. спасибо
Гость - Робин в воскресенье, 07 Январь 2018 01: 54

Иногда с этим новым ядром есть файловые системы только для чтения.

Иногда с этим новым ядром есть файловые системы только для чтения.
Гость - Гость в воскресенье, 07 Январь 2018 06: 28

У меня есть KernelCare - когда мое ядро ​​будет обновляться автоматически и как я могу подтвердить его обновление? Кроме того, будет ли обновление KernelCare подвержено тем же проблемам стабильности, которые описываются здесь другими?

У меня есть KernelCare - когда мое ядро ​​будет обновляться автоматически и как я могу подтвердить его обновление? Кроме того, будет ли обновление KernelCare подвержено тем же проблемам стабильности, которые описываются здесь другими?

Привет, да, ядро ​​будет автоматически обновляться, когда патч будет готов. Вы можете проверить, какие исправления были применены с помощью команды:
kcarectl --patch-info

Мы предоставляем обновления статуса о разработке патчей в этом сообщении блога:
https://www.cloudlinux.com/cloudlinux-os-blog/entry/intel-cpu-bug-kernelcare-and-cloudlinux

Мы тщательно тестируем наши патчи, это одна из причин задержки патча. Не должно быть никаких проблем, вызванных самим патчем, но могут быть некоторые вызваны природой исправления, как проблемы с запуском JVM в новых ядрах.

Привет, да, ядро ​​будет автоматически обновляться, когда патч будет готов. Вы можете проверить, какие исправления были применены с помощью команды: kcarectl --patch-info Мы предоставляем обновления статуса об исправлении в этом сообщении блога: https://www.cloudlinux.com/cloudlinux-os-blog/entry/intel- cpu-bug-kernelcare-and-cloudlinux Мы тщательно тестируем наши исправления, это одна из причин задержки патча. Не должно быть никаких проблем, вызванных самим патчем, но могут быть некоторые вызваны природой исправления, как проблемы с запуском JVM в новых ядрах.
Гость - Джефф в воскресенье, 07 Январь 2018 11: 17

Я запускаю тестовый сервер из образа моего сервера и запускал: yum update -y

Некоторые предупреждения в выпуске о недостающих файлах, но обновление, предположительно, прошло нормально. Как ни странно, сервер ничего не требовал перезапуска. Я попытался перезагрузить компьютер. Краш.

Я запускаю тестовый сервер из образа моего сервера в реальном времени и запускал: yum update -y Некоторые предупреждения в выпуске о недостающих файлах, но обновление якобы прошло нормально. Как ни странно, сервер ничего не требовал перезапуска. Я попытался перезагрузить компьютер. Краш.
Гость - местный в воскресенье, 07 Январь 2018 22: 09

Я тестировал после обновления cl6 ops Spectre Variant 2 не защищен (> STATUS: VULNERABLE (аппаратное обеспечение IBRS + поддержка ядра или ядро ​​с retpolines необходимы для смягчения уязвимости)



[[Электронная почта защищена] specter-meltdown-checker-master] # ./spectre-meltdown-checker.sh
Инструмент обнаружения изменений призраков и Meltdown v0.08

CVE-2017-5753 [ограничение проверки байпаса] aka 'Spectre Variant 1'
* Ядро, скомпилированное с кодом LFENCE, вставленным в соответствующие места: ДА (найдены коды операций 84, который равен = 60)
> СОСТОЯНИЕ: НЕ УЯЗВИМЫЕ

CVE-2017-5715 [разветвление ветвей] aka 'Spectre Variant 2'
* Смягчение 1
* Поддержка аппаратного обеспечения (процессорный микрокод) для смягчения: НЕТ
* Поддержка ядра для IBRS: НЕТ
* IBRS включен для пространства ядра: НЕТ
* IBRS включен для пользовательского пространства: НЕТ
* Смягчение 2
* Ядро составлено с помощью retpolines: NO
> СОСТОЯНИЕ: УЯЗВИМЫЕ (для поддержки уязвимости необходимы аппаратное обеспечение IBRS или поддержка ядра или ядро ​​с retpolines)

CVE-2017-5754 [загрузка кэша данных изгоев] aka 'Meltdown' aka 'Вариант 3'
* Ядро поддерживает изоляцию страницы таблицы (PTI): НЕТ
* PTI включен и активен: ДА
> СТАТУС: НЕ УЯЗВИМЫЙ (PTI снижает уязвимость)

Я тестировал после обновления cl6 ops Spectre Variant 2 не защищен (> STATUS: VULNERABLE (поддержка IBRS-оборудования + поддержка ядра или ядро ​​с retpolines необходимы для смягчения уязвимости) [[Электронная почта защищена] spectre-meltdown-checker-master] # ./spectre-meltdown-checker.sh Инструмент обнаружения смягчения призраков и Meltdown v0.08 CVE-2017-5753 [ограничение проверки байпаса] aka 'Spectre Variant 1' * Ядро, скомпилированное с кодом операции LFENCE, вставленным на правильные места: ДА (найдены коды операций 84, которые> = 60)> СОСТОЯНИЕ: НЕ УЯЗВИМЫЕ CVE-2017-5715 [инъекция целевой ветви] aka 'Spectre Variant 2' * Смягчение 1 * Поддержка аппаратного обеспечения (процессорный микрокод) для предотвращения: NO * Поддержка ядра для IBRS: NO * IBRS включен для пространства ядра: NO * IBRS включен для пользовательского пространства: NO * Смягчение 2 * Ядро, скомпилированное с помощью retpolines: NO> STATUS: VULNERABLE (оборудование IBRS + поддержка ядра или ядро ​​с retpolines необходимы для смягчить уязвимость) CVE-2017-5754 [загрузочный кеш-файл] aka 'Meltdown' aka 'Variant 3' * Ядро поддерживает изоляцию таблицы страниц (PTI): NO * PTI включен и активен: YES> СОСТОЯНИЕ: НЕ УЯЗВИМЫЕ (PTI смягчает уязвимость)
Гость - Майк в воскресенье, 07 Январь 2018 22: 23

Может ли кто-нибудь из CL предоставить дополнительную информацию об этом?

Может ли кто-нибудь из CL предоставить дополнительную информацию об этом?

Привет, Майк,

Мы выпустили новое бета-ядро, которое должно быть более стабильным и может помочь в таких проблемах, как нестабильная работа дисковых квот. Мы будем продолжать обновлять этот пост.

спасибо

Привет, Майк. Мы выпустили новое бета-ядро, которое должно быть более стабильным и может помочь в таких проблемах, как нестабильная работа дисковых квот. Мы будем продолжать обновлять этот пост. спасибо
Уже зарегистрирован? ВОЙТИ
гость
Четверг, Июль 18 2019

Защитный код изображение