Se han detectado vulnerabilidades en el kernel de Linux que requieren una ampliación de kernel. Para obtener más información, consulte
https://www.mcafee.com/enterprise/en-us/threat-center/product-security-bulletins.html.
Para aplicar las últimas actualizaciones de seguridad, amplíe el MLOS kernel y los paquetes de aplicación manualmente en el servidor de TIE appliance, tal y como se describe a continuación.
IMPORTANTE: Se ha comprobado el siguiente procedimiento con los paquetes especificados. La implementación de esta corrección con otras versiones puede fallar y se no con.
Ampliación de la MLOS kernel a la versión más reciente:
NOTA: Planifique un tiempo de inactividad para el MLOS kernel proceso de ampliación.
- Descargar la mkinitrd así vmid paquetes del repositorio de MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/mkinitrd-6.1-42. MLos2.x86_64. rpm
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/vmid-1.0-1. MLos2.x86_64. rpm
- Si está ejecutando un hardware de bajo metal con un microchip de Intel, descargue la versión Intel microcode paquete del repositorio de MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/intel-ucode-20191115-4.mlos2.x86_64. rpm
- Descargue los paquetes de kernel del repositorio de MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/kernel-4.9.206-1. MLos2.x86_64. rpm
- Copie los rpm descargados en el paso anterior al appliance servidor de TIE.
- Conéctese a el dispositivo mediante SSH y cambie al usuario raíz con el siguiente comando:
$ su -
- Cambie el directorio a la ubicación donde se copiaron los rpm.
- Para instalarlos, escriba los siguientes comandos:
NOTAS:
- Si no se está ejecutando en el hardware de bajo metal con un microchip de Intel, paso t así d no son necesarios.
- Asegúrese de utilizar el paquete de kernel correcto que ha descargado.
- Confirme que mkinitrd ya se ha ampliado:
rpm -qa mkinitrd
- Si se ha descargado mkinitrd la versión no está instalada. amplíela:
rpm -Uvh --checksig vmid-1.0-1.mlos2.x86_64.rpm mkinitrd-6.1-42.mlos2.x86_64.rpm
- Confirme si el microcódigo de Intel® descargado o uno nuevo ya están instalados:
rpm -qa | grep intel-ucode
- Si se ha descargado intel-ucodeo uno más reciente es no instalado, escriba el siguiente comando para instalarlo:
rpm -Uvh --checksig --nopost --nodeps intel-ucode-20191115-4.mlos2.x86_64.rpm
- Confirme si el kernel descargado o uno más reciente ya están instalados:
rpm -qa | grep kernel
- Si el kernel descargado o uno más nuevo es no instalado, escriba el siguiente comando para instalarlo:
NOTA: En función del MLOS actual kernel en uso, es posible que aparezcan advertencias inocuas.
rpm -ivh kernel-4.9.206-1.mlos2.x86_64.rpm
- Una vez finalizada la ampliación, verifique que el nuevo kernel esté instalado y seleccionado como predeterminado con el siguiente comando:
cat /boot/grub/grub.conf
Ejemplo de la salida que aparece:
valor predeterminado = 0
[...]
título McAfee servidor de la plataforma de TIE (vmlinuz-4.9.189-1. MLos2.x8664
[...]
Si el valor predeterminado no coincide con la entrada asociada a la kernel instalada, se actualiza con un editor como, por ejemplo, Via.
- Para completar el proceso, reinicie el appliance con el siguiente comando:
reboot
Amplíe la biblioteca de OpenSSL a la versión más reciente:
- Para determinar qué versión del paquete está instalada, escriba el siguiente comando:
$ rpm -qa openssl
- Si es necesaria una ampliación, descargue los últimos paquetes del repositorio de MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/openssl-1.0.2u-2. MLos2.x86_64. rpm
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/openssl-libs-1.0.2u-2. MLos2.x86_64. rpm
- Copie los rpm descargados en el paso anterior al appliance servidor de TIE.
- Conéctese a el dispositivo mediante SSH y cambie al usuario raíz con el siguiente comando:
$ su -
- Cambie el directorio a la ubicación donde se copiaron los rpm.
- Para instalarlos, escriba el siguiente comando:
rpm -Uvh --checksig openssl-1.0.2u-2.mlos2.x86_64.rpm openssl-libs-1.0.2u-2.mlos2.x86_64.rpm
- Reinicie el servidor de TIE con el siguiente comando:
reboot
- Verifique que los servicios de TIE sean correctos:
- Abra la consola de ePO.
- Haga clic en Menú, Configuracióny seleccione Configuración del servidor.
- Seleccione la opción Administración de la topología de servidor de TIE punto.
- Verifique el estado de conectividad de DXL, ATD y GTI de cada instancia de servidor de TIE.
Amplíe la biblioteca de OpenSSH a la versión más reciente:
- Para determinar qué versión del paquete está instalada, escriba el siguiente comando:
$ rpm -qa openssh
- Si es necesaria una ampliación, descargue los últimos paquetes del repositorio de MLOS:
- Copie los rpm descargados en el paso anterior al appliance servidor de TIE.
- Conéctese a el dispositivo mediante SSH y cambie a usuario raíz con el siguiente comando:
$ su –
- Cambie el directorio a la ubicación donde se copiaron los rpm.
- Para instalarlos, ejecute el siguiente comando:
rpm -Uvh --checksig openssh-7.4p1-17.mlos2.x86_64.rpm openssh-server-7.4p1-17.mlos2.x86_64.rpm openssh-clients-7.4p1-17.mlos2.x86_64.rpm
- Reinicie el servidor de TIE mediante el siguiente comando:
reboot
- Verifique que los paquetes se hayan actualizado correctamente; para ello, reinicie la conexión SSH.
Solución:
Si la servidor de TIE no arranca tras la MLOS kernel ampliación:
- Reinicie el sistema. En el menú de arranque, seleccione la kernel de MLOS anterior.
- Después de arrancar la servidor de TIE con el MLOS antiguo kernel, recopile una MER y póngase en contacto con Soporte técnico.