• 状态 Resolved
  • 已锁定 已锁定
  • 回复 5 回复
  • 订户 0 订户
  • 视图 75 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] PROCESSOR-SDK-AM335X:安全审计:TISDK 9.1中的内核漏洞(Linux 6.1)–需要指导

admin
Guru**** 2350610 points
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/processors-group/processors/f/processors-forum/1510393/processor-sdk-am335x-security-audit-kernel-vulnerabilities-in-tisdk-9-1-linux-6-1-guidance-needed

器件型号:PROCESSOR-SDK-AM335X

工具/软件:

您好:

您好 TI 支持部门、

不同应用 TISDK 09_01_00_001  包含的内容 Linux 内核版本6.1.46 。 是一种很好的方法 安全审计 ,我们收到了一个广泛的报告强调 内核版本中有许多漏洞 初始化。 遗憾的是、 我们无法轻松升级内核 、因为这样做可能会导致与 TISDK 09_01_00_001中提供的其他组件(用户空间库、驱动程序等)的兼容性问题。

我们有以下问题、希望您给予指导:

  1. TI 如何处理已知的 CVE TISDK 09_01_00_001捆绑的内核版本中?

  2. 类型 已回退安全修补程序 到 SDK 的6.1.46内核分支中、即使版本字符串没有改变吗?

  3. 有没有 官方安全更新策略 TISDK 版本?

  4. 如果我们尝试升级内核(例如、升级到较新的 LTS 6.1.x 或6.6)、我们应该注意哪些方面 与 TISDK 9.1用户区库和工具兼容

我们希望确保我们的系统安全、同时保持在 TISDK 支持的范围内。

谢谢您、
Neha Gupta

  • 0
    TI__Guru**** 2350610 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    Linux CVE 通过稳定的更新过程。

    最新的 AM335版本为9.3 Ref: https://software-dl.ti.com/processor-sdk-linux/esd/AM335X/09_03_05_02/exports/docs/devices/AM335X/linux/AM335.html Release_Specific_Release_Notes 

    正如您在这里看到的、其中包含  

    Linux 稳定版升级到6.1.119

    等效的 SDK Yocto LTS 是 Kirkstone、Yocto 分支也更新为最新版本。

    --

    有关的 CVE 流程的进一步阅读

    内核: https://docs.kernel.org/process/cve.html 

    Yocto Distro: https://docs.yoctoproject.org/dev/dev-manual/vulnerabilities.html 

    --

    长稳定性版本的进一步阅读

    内核: https://www.kernel.org/category/releases.html 

    Yocto Distro: https://wiki.yoctoproject.org/wiki/Releases 

  • 0
    TI__Guru**** 2350610 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    只是添加 Praneeth 评论..

    对于 AM335x 等较旧产品、我们每年发布 SDK 的节奏大约是一年。 因此、如果您迫不及待、至少可以使用我们的 CI/CD 链接观看 TI 端发生的情况:

    https://software-dl.ti.com/cicd-report/linux/index.html?section=platform&platform=am335x

    如果您错过任何重要问题,您可以从社区返回到正常的上游内核树。 最终,这将始终是最快和可靠的方式来达到最先进的代码基础。

  • 0
    TI__Guru**** 2350610 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    e2e.ti.com/.../kernel_5F00_vulnerabilities.xlsx

    尊敬的[TI 支持/团队]:

    感谢您之前的回答和有用的链接。

    为了给您提供更多的背景信息—作为我们项目安全审核的一部分、我们收到了一份报告列表 超过4000个漏洞  (我们之前还随附了 Excel 工作表)。 已经大幅降低 TISDK 9.1简介 、我们希望了解其中有多少 CVE 已通过内核(6.1.x)或 SDK 中的其他组件进行寻址。

    根据您的回复、我们了解 CVE 修复是通过处理的 稳定的内核更新过程 和类似的较新版本 TISDK 9.3 (具有内核6.1.119) 其中包括许多修补程序。 但是、我们目前即将发布产品、而且现在升级整个 SDK 的灵活性有限、已经花了数月的时间迁移到9.1。

    我们希望确认以下几点:

    1. 是否可以继续进行 TISDK 9.1简介 在我们跟踪和修补时 重要 CVE 我们自己?

    2. 是否有建议的方法 交叉检查 我们的 CVE 列表(来自审核)与 TISDK 9.1中所用内核中已修补的内容进行了比较。

    3. 有任何问题 已知的主要安全漏洞 在9.1中、这会使发布变得强烈而不鼓励?

    我们非常感谢您的澄清、因为这将帮助我们决定如何在平衡发布时间表和安全问题的同时继续前进。

  • 0
    TI__Guru**** 2350610 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    嗨、Neha、

    我认为 TI 无法回答您的问题。 这是一个特定的用例、我们对您的产品一无所知。 您可以咨询外部安全公司处理该主题、但最终决定要使用哪个软件。

    我想知道有关提供的漏洞报告的一些信息。 出于某种原因、您的安全审核似乎涵盖了完整的内核源。 但您的器件肯定具有仅针对 TI 处理器和相关接口的内核配置。 许多 CVE 可能甚至不会影响您的设备、因为相关代码可能根本不会被使用、因为它特定于不同的硬件。  我认为"项目安全审核"应该涵盖已配置的内核、而不仅仅是列出特定内核版本的每个已知 CVE。 Linux 内核源代码太大了... 最小化至相关 CVE 将有助于交叉检查可用补丁。 然后、您可以选择迁移到相同 LTS 链中的后续内核、或将任何补丁反向移植。 我假设在任何情况下、您都需要重新测试您的系统。

    关于重要性、我建议按分数对相关 CVE 进行排序(可在您的工作表中找到)。 这应该首先指明使用的关键程度。 将其与您自己的产品风险评估相结合应该是一个良好的开端。

  • 0
    TI__Guru**** 2350610 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    感谢您的答复和详细说明。

    我现在了解您的观点、并将与我们的代码审核团队联系、以调查您提到的内核配置场景。 这将帮助我们更好地筛选和评估报告的漏洞。

    感谢您的支持。

    此致、
    Neha