Zu Wochenbeginn wurde eine Sicherheitslücke im Mainline Kernel bekannt, die den Namen "Dirty Pipe" erhielt und unter CVE-2022-0847 katalogisiert ist. Die Lücke ermöglicht lokalen unprivilegierten Usern eine einfache Möglichkeit, Root-Rechte zu erlangen. Seit einigen Tagen liefern die Distributionen einen gepatchten Kernel aus. TUXEDO Computers steht da nicht zurück und stellt den gepatchten Kernel "linux-image-5.13.0-10028-tuxedo" für seine Anwender bereit.
Eine kurze Chronologie warum sich der Dirty-Pipe Fix um zwei Tage verzögert hat:
Grundsätzlich setzen wir modifizierte, Ubuntu-eigene, Kernel ein und sind damit nahezu so aktuell wie Ubuntu selbst. Damit haben wir zum einen größt mögliche Kompatibilität aber auch Individualität.
Beim Testen des Ubuntu Kernel "linux-image-5.13.0-28-generic" und dann unseres "linux-image-5.13.0-10028-tuxedo" Pakets ist uns aufgefallen, dass die Stellaris und Polaris Gen3 15 sowie 17 mit AMD CPU nicht mehr aus dem Suspend aufwachen. Daraufhin haben wir den -28 und folgende Releases für alle Geräte zurückgehalten.
In den folgenden Tagen haben wir erfolgreich einen neueren Kernel gebaut, "linux-image-5.15.0-10022-tuxedo", und getestet, welcher das Problem nicht mehr hat. Zusätzlich sollte eine neue Version von Tomte kommen, die explizit sicher gehen kann, dass genau der von uns getestete Kernel und kein anderer auf bestimmten Geräten installiert ist (selbstverständlich deaktivierbar). Diese Funktion ist schon länger in Entwicklung für genau solche Fälle wie oben beschrieben.
Eben jenes Tomte Update war leider fehlerhaft und hat dafür gesorgt, dass auf manchen Geräten nach einem Update, wichtige Treiber nicht richtig installiert waren. Das hat logischerweise viel unserer Aufmerksamkeit gebunden und verhindert, dass die Tomte Version veröffentlicht wird, welche den 5.15 basierten Kernel auf den Stellaris und Polaris Gen 3 15 und 17 mit AMD CPU installiert.
Am 10. März 2022 gab es eine neue Tomte Version, die den getesteten "linux-image-5.15.0-10022-tuxedo" Kernel auf dem Stellaris und Polaris Gen 3 15/17 AMD installiert und besagtes Kernel Update für den 5.13, "linux-image-5.13.0-10028-tuxedo", das auch hier den "Dirty Pipe"-Fix zur Verfügung stellt.
Fazit: Aktualität und Stabilität sind ein nicht trivialer Balanceakt, bei dem Test- und Entwicklungsressourcen wohl alloziert sein müssen. Wir verbessern uns kontinuierlich und können jetzt schon viel mehr Eventualitäten abfangen. Ein dauerhaft funktionsfähiges System ist auf der einen Seite wichtig, auf der anderen Seite aber selbstverständlich auch möglichst aktuelle Sicherheitspatches.
Eine kurze Chronologie warum sich der Dirty-Pipe Fix um zwei Tage verzögert hat:
Grundsätzlich setzen wir modifizierte, Ubuntu-eigene, Kernel ein und sind damit nahezu so aktuell wie Ubuntu selbst. Damit haben wir zum einen größt mögliche Kompatibilität aber auch Individualität.
Beim Testen des Ubuntu Kernel "linux-image-5.13.0-28-generic" und dann unseres "linux-image-5.13.0-10028-tuxedo" Pakets ist uns aufgefallen, dass die Stellaris und Polaris Gen3 15 sowie 17 mit AMD CPU nicht mehr aus dem Suspend aufwachen. Daraufhin haben wir den -28 und folgende Releases für alle Geräte zurückgehalten.
In den folgenden Tagen haben wir erfolgreich einen neueren Kernel gebaut, "linux-image-5.15.0-10022-tuxedo", und getestet, welcher das Problem nicht mehr hat. Zusätzlich sollte eine neue Version von Tomte kommen, die explizit sicher gehen kann, dass genau der von uns getestete Kernel und kein anderer auf bestimmten Geräten installiert ist (selbstverständlich deaktivierbar). Diese Funktion ist schon länger in Entwicklung für genau solche Fälle wie oben beschrieben.
Eben jenes Tomte Update war leider fehlerhaft und hat dafür gesorgt, dass auf manchen Geräten nach einem Update, wichtige Treiber nicht richtig installiert waren. Das hat logischerweise viel unserer Aufmerksamkeit gebunden und verhindert, dass die Tomte Version veröffentlicht wird, welche den 5.15 basierten Kernel auf den Stellaris und Polaris Gen 3 15 und 17 mit AMD CPU installiert.
Am 10. März 2022 gab es eine neue Tomte Version, die den getesteten "linux-image-5.15.0-10022-tuxedo" Kernel auf dem Stellaris und Polaris Gen 3 15/17 AMD installiert und besagtes Kernel Update für den 5.13, "linux-image-5.13.0-10028-tuxedo", das auch hier den "Dirty Pipe"-Fix zur Verfügung stellt.
Fazit: Aktualität und Stabilität sind ein nicht trivialer Balanceakt, bei dem Test- und Entwicklungsressourcen wohl alloziert sein müssen. Wir verbessern uns kontinuierlich und können jetzt schon viel mehr Eventualitäten abfangen. Ein dauerhaft funktionsfähiges System ist auf der einen Seite wichtig, auf der anderen Seite aber selbstverständlich auch möglichst aktuelle Sicherheitspatches.
