この投稿では、「ksplice kernel uname」(Ksplice Enhanced クライアント)または「uptrack-uname」(Ksplice Uptrack クライアント)コマンドの出力の背後にある意味と、Ksplice の有効なカーネル バージョン文字列を解釈する方法について説明します。
コマンド「ksplice kernel uname -r」の実行時に Ksplice によって報告される有効なカーネル バージョン 」は、Ksplice によって適用されたパッチに基づいて実行されているカーネルのセキュリティ ポジションを反映しています。この有効なカーネル バージョンは、通常、起動されたカーネルのバージョンとは異なり、潜在的な脆弱性または重大なバグに関するカーネルの現在の状態を反映することを目的としています。
ブートされたカーネルが Spectre/Meltdown の脆弱性に対する初期パッチを受け取っていないバージョンにロックされている場合、これらのパッチを Ksplice で適用することはできません。 Ksplice は後続の CVE のパッチでカーネルを更新し続けますが、有効なカーネル バージョンは更新されません。これは、他の潜在的な攻撃ベクトルに対してパッチが適用されたとしても、現在読み込まれているカーネルがまだ Spectre/Meltdown の脆弱性に対して脆弱であることを正確に反映するためです。
「uname -r」を実行すると、起動したカーネルのバージョンを確認できます。 Ksplice によって報告されたバージョンと比較してください。これらのバージョンが一致する場合、カーネルはまだ Spectre/Meltdown に対して脆弱である可能性が高く、Ksplice を完全に有効にするために、カーネルのアップグレードと再起動を検討する必要があります。
「ksplice kernel show」を実行すると、実行中のカーネルにどの特定の CVE 脆弱性と重大なバグ修正が適用されているかを確認できます。 」。