masa.yamaguchi
2025年5月26日 16時00分
==========
製品型番:Aramadillo-610
ABOSバージョン:3.20.3-at.8
カーネルバージョン: 5.10.233
その他:ATDE9を使用
==========
基本的な質問で申し訳ございませんが、お伺いしたいことがございまs。
更新情報(例:https://armadillo.atmark-techno.com/news/20250423/software-update-a600)
において、「対応した脆弱性」の記載があります。
ここで、例のURLで「linux: linux v5.10.235からv5.10.236までに対応した各脆弱性 (net, bluetooth, ext4, bpf…)」とある場合、
詳細内容はどこかに記載されておりますでしょうか。
(それともArmadillo-610と関連が無いので割愛されているのでしょうか。もしくは大量に存在するため記載が困難となるのでしょうか)
■質問の背景
過去に以下URLで質問させて頂きました
([Armadillo-610] Armadillo Base OS対応 インストールディスクイメージ でAP接続できない
https://armadillo.atmark-techno.com/forum/armadillo/25417 )
上記対応にあたり、現状は 2025/1/29リリースを使用しているのですが、更新しないことによる影響を調査したい為、今回の質問となりました。
| ファイル | ファイルの説明 |
|---|---|
| 更新情報_2025年04月_Armadillo-600シリーズ対象_抜粋.png |
コメント
masa.yamaguchi
マルティネ 様
masa.yamaguchiです。
ご回答ありがとうございます。
大分手間かかりますが、何かの CI で毎月新しいカーネルでモジュールをリビルドして 開発機1台で試してから他の armadillo に展開できるような体制を整えておけばベストですが、 言うのは簡単ですが実装はかなり時間かかると思いますので本当に申し訳ない状態です… 試してませんが、dkms みたいに wifi モジュールを何かのビルドコンテナで armadillo上で ビルドするのはありかもしれません。 /var/app/rollback/volumes に保存すればカーネルを更新した時だけにビルドできますので、 少し時間かかっても現実的にできるかもしれません。
ご回答ありがとうございます。上記も含めて検討したいと思います。
at_dominique.m…
2025年5月26日 17時22分
masa.yamaguchiさん
お世話になっています、
マルティネです。
> ここで、例のURLで「linux: linux v5.10.235からv5.10.236までに対応した各脆弱性 (net, bluetooth, ext4, bpf…)」とある場合、
> 詳細内容はどこかに記載されておりますでしょうか。
申し訳ございません。
Linux カーネルの場合は、2024年2月 Linux が CNA (CVE Numbering Authority) になってから発行している脆弱性が多すぎてリストしても意味がないと考えて、時間節約のためニュースで詳細をリストしないように変更しました。
自分が確認しているのは Linux カーネルの公式脆弱性リポジトリです:
https://git.kernel.org/pub/scm/linux/security/vulns.git/
「このバージョンに修正されたもの」は明確にリストされてませんが、メールに「fixed in 5.10.236」と記載されている場合は「v5.10.235 から v5.10.236」の修正として認識して確認しています。
今回は具体的に以下の通りです:
CVE-2025-21779: KVM: x86: Reject Hyper-V's SEND_IPI hypercalls if local APIC isn't in-kernel
CVE-2025-21941: drm/amd/display: Fix null check for pipe_ctx->plane_state in resource_build_scaling_params
CVE-2025-21968: drm/amd/display: Fix slab-use-after-free on hdcp_work
CVE-2025-21959: netfilter: nf_conncount: Fully initialize struct nf_conncount_tuple in insert_tree()
CVE-2025-21971: net_sched: Prevent creation of classes with TC_H_ROOT
CVE-2025-21975: net/mlx5: handle errors in mlx5_chains_create_table()
CVE-2025-21981: ice: fix memory leak in aRFS after reset
CVE-2025-21991: x86/microcode/AMD: Fix out-of-bounds on systems with CPU-less NUMA nodes
CVE-2025-21999: proc: fix UAF in proc_get_inode()
CVE-2025-21996: drm/radeon: fix uninitialized size issue in radeon_vce_cs_parse()
CVE-2025-22004: net: atm: fix use after free in lec_send()
CVE-2025-22005: ipv6: Fix memleak of nhc_pcpu_rth_output in fib_check_nh_v6_gw().
CVE-2025-22007: Bluetooth: Fix error code in chan_alloc_skb_cb()
CVE-2025-22010: RDMA/hns: Fix soft lockup during bt pages loop
CVE-2025-22014: soc: qcom: pdr: Fix the potential deadlock
CVE-2025-22018: atm: Fix NULL pointer dereference
CVE-2025-22020: memstick: rtsx_usb_ms: Fix slab-use-after-free in rtsx_usb_ms_drv_remove
CVE-2025-22021: netfilter: socket: Lookup orig tuple for IPv6 SNAT
CVE-2025-22035: tracing: Fix use-after-free in print_graph_function_flags during tracer switching
CVE-2025-22044: acpi: nfit: fix narrowing conversion in acpi_nfit_ctl
CVE-2025-22045: x86/mm: Fix flush_tlb_range() when used for zapping normal PMDs
CVE-2025-22054: arcnet: Add NULL check in com20020pci_probe()
CVE-2025-22055: net: fix geneve_opt length integer overflow
CVE-2025-22056: netfilter: nft_tunnel: fix geneve_opt type confusion addition
CVE-2025-22063: netlabel: Fix NULL pointer exception caused by CALIPSO on IPv4 sockets
CVE-2025-22071: spufs: fix a leak in spufs_create_context()
CVE-2025-22073: spufs: fix a leak on spufs_new_file() failure
CVE-2025-22075: rtnetlink: Allocate vfinfo size for VF GUIDs when supported
CVE-2025-22079: ocfs2: validate l_tree_depth to avoid out-of-bounds access
CVE-2025-22086: RDMA/mlx5: Fix mlx5_poll_one() cur_qp update flow
CVE-2025-23136: thermal: int340x: Add NULL check for adev
CVE-2025-23138: watch_queue: fix pipe accounting mismatch
CVE-2023-53034: ntb_hw_switchtec: Fix shift-out-of-bounds in switchtec_ntb_mw_set_trans
CVE-2025-37785: ext4: fix OOB read when checking dotdot dir
CVE-2025-38637: net_sched: skbprio: Remove overly strict queue assertions
CVE-2025-39728: clk: samsung: Fix UBSAN panic in samsung_clk_init()
CVE-2025-39735: jfs: fix slab-out-of-bounds read in ea_get()
CVE-2022-49046: i2c: dev: check return value when calling dev_set_name()
CVE-2021-47489: drm/amdgpu: Fix even more out of bound writes from debugfs
CVE-2024-38611: media: i2c: et8ek8: Don't strip remove function when driver is builtin
CVE-2022-49636: vlan: fix memory leak in vlan_newlink()
CVE-2024-53144: Bluetooth: hci_event: Align BR/EDR JUST_WORKS paring with LE
CVE-2024-56664: bpf, sockmap: Fix race between element replace and close()
細かい脆弱性の解析は使い方によって違いますが、ニュースに書いてるキーワードは基本的に
- filesystem の不具合(ext4, fat, btrfs等)は USB を許可している場合自動マウントされていますので、USB許可状態で物理的なアクセスの場合に脅威
- network の場合は2種類あって、remote で発生する問題(ネットワーク接続だけで脅威)と network namespace/netfilter でコンテナからコードを実行できる場合の脅威。ニュースで書いてない場合は後者になっているはずです。
- bluetooth も、リモートで発生できる問題とコード実行できる2種類があって「remote」と書いてない場合は後者です(BT を使って、コンテナを network=host で実行する場合の問題)
- bpf はコンテナでコードを実行できる場合の問題だと考えていますが、デフォルトでは kernel.unprivileged_bpf_disabled が設定していますのでほとんどの場合は無視していただいていいはずです
後は何か気になった場合に追加しますが、量が多いので細かくは見てません。
当社の推奨としては常に更新したほうがいいと考えていただいていいと思いますが、
masa.yamaguchiさんは wifi ドライバーのために更新を簡単にできないですね…
大分手間かかりますが、何かの CI で毎月新しいカーネルでモジュールをリビルドして
開発機1台で試してから他の armadillo に展開できるような体制を整えておけばベストですが、
言うのは簡単ですが実装はかなり時間かかると思いますので本当に申し訳ない状態です…
試してませんが、dkms みたいに wifi モジュールを何かのビルドコンテナで armadillo上で
ビルドするのはありかもしれません。
/var/app/rollback/volumes に保存すればカーネルを更新した時だけにビルドできますので、
少し時間かかっても現実的にできるかもしれません。
お手数ですがよろしくお願いします。