Mise à jour de securité non détecté

Support Debian
#1

Bonjour à tous,

J’ai découvert par hasard que la mise à jour du noyau sur ma Stretch (linux-image-4.9.0-5-amd64) n’était pas proposée avec synaptic .

J’ai mis à jour manuellement, mais je ne comprends pas le pourquoi du comment.
Voici mon sources.list :

deb http://ftp.univ-nantes.fr/debian/ stretch non-free contrib main 
# deb-src http://ftp.univ-nantes.fr/debian/ stretch main 

deb http://security.debian.org/debian-security/ stretch/updates non-free contrib main   
# deb-src http://security.debian.org/debian-security/ stretch/updates main    

deb http://deb.debian.org/debian/ stretch-updates main contrib non-free 

deb http://deb.debian.org/debian/ stretch-backports stretch backports main   

deb http://deb.debian.org/debian/ buster main contrib non-free

apt policy

Fichiers du paquet :
 100 /var/lib/dpkg/status
     release a=now
 100 http://deb.debian.org/debian buster/non-free amd64 Packages
     release o=Debian,a=testing,n=buster,l=Debian,c=non-free,b=amd64
     origin deb.debian.org
 100 http://deb.debian.org/debian buster/contrib amd64 Packages
     release o=Debian,a=testing,n=buster,l=Debian,c=contrib,b=amd64
     origin deb.debian.org
 100 http://deb.debian.org/debian buster/main amd64 Packages
     release o=Debian,a=testing,n=buster,l=Debian,c=main,b=amd64
     origin deb.debian.org
 500 http://deb.debian.org/debian stretch-proposed-updates/main amd64 Packages
     release o=Debian,a=proposed-updates,n=stretch-proposed-updates,l=Debian,c=main,b=amd64
     origin deb.debian.org
 500 http://deb.debian.org/debian stretch-proposed-updates/contrib amd64 Packages
     release o=Debian,a=proposed-updates,n=stretch-proposed-updates,l=Debian,c=contrib,b=amd64
     origin deb.debian.org
 500 http://deb.debian.org/debian stretch-proposed-updates/non-free amd64 Packages
     release o=Debian,a=proposed-updates,n=stretch-proposed-updates,l=Debian,c=non-free,b=amd64
     origin deb.debian.org
 110 http://deb.debian.org/debian stretch-backports/main amd64 Packages
     release o=Debian Backports,a=stretch-backports,n=stretch-backports,l=Debian Backports,c=main,b=amd64
     origin deb.debian.org
 500 http://deb.debian.org/debian stretch-updates/main amd64 Packages
     release o=Debian,a=stable-updates,n=stretch-updates,l=Debian,c=main,b=amd64
     origin deb.debian.org
 500 http://security.debian.org/debian-security stretch/updates/main amd64 Packages
     release v=9,o=Debian,a=stable,n=stretch,l=Debian-Security,c=main,b=amd64
     origin security.debian.org
 500 http://security.debian.org/debian-security stretch/updates/contrib amd64 Packages
     release v=9,o=Debian,a=stable,n=stretch,l=Debian-Security,c=contrib,b=amd64
     origin security.debian.org
 500 http://security.debian.org/debian-security stretch/updates/non-free amd64 Packages
     release v=9,o=Debian,a=stable,n=stretch,l=Debian-Security,c=non-free,b=amd64
     origin security.debian.org
 500 http://ftp.univ-nantes.fr/debian stretch/main amd64 Packages
     release v=9.3,o=Debian,a=stable,n=stretch,l=Debian,c=main,b=amd64
     origin ftp.univ-nantes.fr
 500 http://ftp.univ-nantes.fr/debian stretch/contrib amd64 Packages
     release v=9.3,o=Debian,a=stable,n=stretch,l=Debian,c=contrib,b=amd64
     origin ftp.univ-nantes.fr
 500 http://ftp.univ-nantes.fr/debian stretch/non-free amd64 Packages
     release v=9.3,o=Debian,a=stable,n=stretch,l=Debian,c=non-free,b=amd64
     origin ftp.univ-nantes.fr

A noter qu’entre les 2 commandes, j’ai ajouter le depot stretch-proposed-updates à mon sources.list, qui n’y était pas initialement.

#2

Que veux tu dire ?
Parce que si avant tu avais déjà installé une version 4.13 ou 4.14 depuis les backports, c’est normal qu’il ne te propose pas de régresser, aussi.

#3

J’étais en 4.9.0-4-amd64, et à chaque démarrage je lance synaptic, je recharge et je mets à jour si nécessaire.

Pour une raison que j’ignore, synaptic ne m’a jamais proposé la maj 4.9.0-5-amd64 concernant les failles meltdown et spectre, je l’ai donc sélectionné manuellement dans synaptic et je l’ai installé, je tourne donc aujourd’hui sur un noyau 4.9.0-5-amd64.

L’historique de synaptic :

Commit Log for Fri Jan  5 21:10:05 2018


Les paquets suivants ont été mis à jour :
gimp (2.8.18-1) to 2.8.18-1+deb9u1
gimp-data (2.8.18-1) to 2.8.18-1+deb9u1
libgimp2.0 (2.8.18-1) to 2.8.18-1+deb9u1
libx265-146 (2.6-2) to 2.6-3
linux-libc-dev (4.9.65-3+deb9u1) to 4.9.65-3+deb9u2

Logiquement, linux-image-4.9.0-5-amd64 (4.9.65-3+deb9u2) aurait dû m’être proposé en même temps, ce ne fut pas le cas ce jour là, ni les jours suivants.

#4

C’est bizarre, il vient a priori de http://security.debian.org stretch/updates/main amd64, donc priorité 500.
Je ne peux pas dire.

#5

Bonjour,

Vraiment étonnant vu que ce paquet a bien été mis à jour

#6

Oui, c’est étrange, je comprends pas non plus.
J’ai forcément fais une mauvaise manip, mais je vois pas laquelle.

J’ai regardé du côté d’apt-daily.service que j’avais désactivé y’a plusieurs mois, mais logiquement ça devrait pas empêcher les maj manuelles.

Je crois que je vais revenir au 4.9.0-4-amd64 et regarder si apt-get et aptitude réagissent comme synaptic.

#7

Bonjour,

A tout hasard, tu disposes bien de linux-image-amd64 ?
Sans ce méta-paquet, aucune chance d’avoir les mises à jours.

#8

Ah, voilà une piste intéressante, car après vérification le paquet linux-image-amd64 n’est pas installé sur ma machine.

Sans ce paquet, aucune maj de noyau n’est possible ?

EDIT :

J’ai donc installé le paquet linux-image-amd64 suivi d’un redémarrage.

Un truc que je pige pas parmi d’autres, c’est que la commande :
dmesg | grep 'Kernel/User page tables isolation'
ne retournait rien avant l’installation du paquet linux-image-amd64, bien que le noyau 4.9.0-5-amd64 soit déjà installé.

#9

c’est vraiment oiseux tout ça, il eu fallu faire

apt-cache policy linux-image-4.9.0-5-amd64
linux-image-4.9.0-5-amd64:
  Installé : 4.9.65-3+deb9u2
  Candidat : 4.9.65-3+deb9u2
 Table de version :
 *** 4.9.65-3+deb9u2 500
        500 http://deb.debian.org/debian-security stretch/updates/main amd64 Packages
        500 http://ftp.fr.debian.org/debian stretch-proposed-updates/main amd64 Packages
        100 /var/lib/dpkg/status

et tu aurais su si les dépôts étaient bien accessibles par ta machine

apt-cache  showpkg linux-image-amd64

Provides:
4.14+88 - linux-latest-modules-4.14.0-2-amd64 (= )
4.9+80+deb9u3 - linux-latest-modules-4.9.0-5-amd64 (= )
4.9+80+deb9u2 - linux-latest-modules-4.9.0-4-amd64 (= )
3.16+63+deb8u1 - linux-latest-modules-3.16.0-5-amd64 (= )


Sans le paquet linux-image-amd64 tu aurais pu avoir une mise à jour dans le paquet de la version déja installée   mais c'est lui qui assure le saut d'une version a une autre pour toujours avoir le dernier de ta release (latest)
#10

J’imagine que tu parles de ça : [quote=“Freak, post:6, topic:75614”]
Je crois que je vais revenir au 4.9.0-4-amd64 et regarder si apt-get et aptitude réagissent comme synaptic.
[/quote]

Je pense que la solution a été donné par sk4hrr, il me manquait le paquet linux-image-amd64, je l’ai sans doute pas sélectionné lors de la netinstall fin octobre, et comme il n’y a pas eu ( à vérifier cependant ) de nouveau noyau depuis, je me suis aperçu de rien.

Ce qui m’intrigue vraiment, c’est ceci : [quote=“Freak, post:8, topic:75614”]
Un truc que je pige pas parmi d’autres, c’est que la commande :
dmesg | grep 'Kernel/User page tables isolation’
ne retournait rien avant l’installation du paquet linux-image-amd64, bien que le noyau 4.9.0-5-amd64 soit déjà installé.

[/quote][quote=“grandtoubab, post:9, topic:75614”]
Sans le paquet linux-image-amd64 tu aurais pu avoir une mise à jour dans le paquet de la version déja installée mais c’est lui qui assure le saut d’une version a une autre pour toujours avoir le dernier de ta release (latest)
[/quote]
Je suis pas certain de comprendre, quand j’ai fait l’install du 4.9.0-5-amd64 manuellement, j’ai rebooté et j’étais en 4.9.0-5, mais point de ‘Kernel/User page tables isolation’ avec dmsg.

#11

4.9.0-5 c’est pas suffisant comme identifiant ( c’est le nom de famille, il faut aller jusqu’au prénom)

uname --all
Linux debian 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux

le patch est dans la version 4.9.65-3+deb9u2

https://security-tracker.debian.org/tracker/source-package/linux
https://security-tracker.debian.org/tracker/CVE-2017-5972

j’ai fait l’install du 4.9.0-5-amd64 manuellement

c’était quel jour?? le patch est du 4 janvier

#12

Oui, voilà le log de synaptic suite à l’install manuelle hier soir quand je me suis rendu compte que synaptic ne me proposait pas le dernier noyau :

Commit Log for Wed Jan 10 18:10:43 2018


Les paquets suivants ont été installés :
linux-image-4.9.0-5-amd64 (4.9.65-3+deb9u2)

Et jusqu’à ce que j’installe le paquet linux-image-amd64 (4.9+80+deb9u3) aujourd’hui suite au message de sk4hrr, le retour de la commande : dmesg | grep ‘Kernel/User page tables isolation’ était nul, comme si le 4.9.0-5-amd64 (4.9.65-3+deb9u2) n’était pas installé, ce qui est pour moi une énigme.

#13

Petite récap chronologique pour ce soit un poil + compréhensible :

Le 05 janvier, je fais mes maj sur ma machine principale:

Commit Log for Fri Jan  5 21:10:05 2018

Les paquets suivants ont été mis à jour :
(...)
linux-libc-dev (4.9.65-3+deb9u1) to 4.9.65-3+deb9u2

Mercredi 10 janvier, hier soir, en faisant des maj sur un autre pc, je vois qu’il y a un nouveau noyau 4.9.0-5-amd64 (4.9.65-3+deb9u2).

Ca m’intrigue, du coup je fais l’install sur ma machine principale en sélectionnant directement dans synaptic le paquet concerné :

Commit Log for Wed Jan 10 18:10:43 2018

Les paquets suivants ont été installés :
linux-image-4.9.0-5-amd64 (4.9.65-3+deb9u2)

Je redémarre, je pense donc être à jour.

Jeudi 11 janvier, aujourd’hui, je poste ici, pour comprendre pourquoi synaptic ne m’a pas proposé la maj, et j’apprends qu’il me manque le paquet linux-image-amd64, probablement un oubli de ma part lors de ma netinstall qui date de fin octobre.

Mon interrogation initiale semble donc résolue.

Maintenant, ce que je veux comprendre, c’est pourquoi une fois installé le 4.9.0-5-amd64 (4.9.65-3+deb9u2), le retour de la commande :
dmesg | grep 'Kernel/User page tables isolation' était nul.
Il a fallu que j’installe le paquet linux-image-amd64 (4.9+80+deb9u3), pour qu’enfin j’obtienne la confirmation :
[ 0.000000] Kernel/User page tables isolation: enabled

Je trouve ça assez limite niveau sécurité, j’aurais très bien pu ne pas poster ici, passer à côté cette commande de vérification, et croire que mon système était à jour.

Voilà, si quelqu’un a une explication, je suis preneur.

#14

Je pense que tu as simplement sélectionné la version du noyau de l’époque au lieu de garder la valeur par défaut, qui est l’utilisation du méta-paquet. En somme rien de grave, mais du coup tu serais resté à tout jamais bloqué en linux-image-4.9.0-4-amd64 sans installation supplémentaire.

Attention, ne mélange pas tout :

  • linux-image-amd64: méta-paquet permettant de toujours installé la dernière version du noyau
  • linux-image-4.9.0-5-amd64 : paquet Debian installé par le méta-paquet et qui contient le noyau 4.9.65
  • 4.9.65-3+deb9u2 : version du noyau patché par Debian

La version 4.9+80+deb9u3 correspond au paquet linux-image-amd64 qui en lui-même ne contient pas le noyau. Ce paquet permet simplement à Debian de mettre à jour le noyau par dépendance.

Pour répondre à ta question, il est probable que certains éléments du noyau ne soit pas journalisés dans dmesg si tu n’utilises pas le méta-paquet.

#15

Oui, c’est fort probable, j’ignorais jusqu’ici l’importance de ce méta-paquet.

Ok, c’était donc installé, mais pas journalisé.

Merci à tous, je passe en résolu, vu que je n’ai plus aucunes questions :thumbsup:

#16

Certains préfèrent gérer eux même la mise à jour du noyau, c’est pour cela que Debian propose à l’installation d’utiliser une version spécifique.

J’ai utilisé “probable” parce que j’en sais rien à vrai dire. Faudrait faire des tests.