Sono state rilevate vulnerabilità nel Linux kernel che richiedono un upgrade kernel. Per ulteriori informazioni, consultare
https://www.mcafee.com/enterprise/en-us/threat-center/product-security-bulletins.html.
Per applicare gli aggiornamenti di sicurezza più recenti, aggiornare manualmente il MLOS kernel e i pacchetti di applicazioni nella server TIE appliance, come descritto di seguito.
IMPORTANTE La procedura riportata di seguito è stata testata con i pacchetti specificati. L'implementazione di questa correzione con altre versioni potrebbe non riuscite ed è non supportato.
Effettuare l'upgrade del MLOS kernel alla versione più recente:
Nota Pianificare un tempo di inattività per il processo di MLOS kernel upgrade.
- Scaricare il mkinitrd e vmid pacchetti dall'archivio MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/mkinitrd-6.1-42. MLOS2.x86_64. rpm
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/vmid-1.01. MLOS2.x86_64. rpm
- Se si esegue in metallo nudo con un microchip Intel, download Microcodice Intel pacchetto dall'archivio MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/intel-ucode-20191115-4.mlos2.x86_64. rpm
- Scaricare i pacchetti di kernel dall'archivio MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/kernel-4.9.2061. MLOS2.x86_64. rpm
- Copiare gli RPM scaricati nel passaggio precedente nella server TIE appliance.
- Connettersi al appliance utilizzando SSH e switch all'utente root con il seguente comando:
$ su -
- Modificare la directory nel percorso in cui sono stati copiati gli RPM.
- Per installarli, digitare i seguenti comandi:
Note
- Se non si è in esecuzione su bare metal con un microchip Intel, Step c e d non sono necessari.
- Assicurarsi di utilizzare il pacchetto di kernel corretto scaricato.
- Confermare che mkinitrd è già stato aggiornato:
rpm -qa mkinitrd
- Se il download mkinitrd la versione non è installata, effettuare l'upgrade:
rpm -Uvh --checksig vmid-1.0-1.mlos2.x86_64.rpm mkinitrd-6.1-42.mlos2.x86_64.rpm
- Verificare se il microcodice Intel® scaricato o uno più recente è già installato:
rpm -qa | grep intel-ucode
- Se il download intel-ucodeo uno più recente è non installato, digitare il comando seguente per installarlo:
rpm -Uvh --checksig --nopost --nodeps intel-ucode-20191115-4.mlos2.x86_64.rpm
- Verificare se il kernel scaricato o quello più recente è già installato:
rpm -qa | grep kernel
- Se il kernel scaricato o uno più recente è non installato, digitare il comando seguente per installarlo:
Nota A seconda dell'MLOS corrente kernel in uso, è possibile che vengano visualizzati avvisi innocui.
rpm -ivh kernel-4.9.206-1.mlos2.x86_64.rpm
- Al termine dell'upgrade, verificare che il nuovo kernel sia installato e selezionato come predefinito con il seguente comando:
cat /boot/grub/grub.conf
Esempio di output visualizzato:
impostazione predefinita = 0
[...]
titolo McAfee server della piattaforma TIE (vmlinuz-4.9.1891. MLOS2.x86_64)
[...]
Se l'impostazione predefinita non soddisfa la voce associata al kernel installato, aggiornare il valore utilizzando un editor come vi.
- Per completare il processo, riavviare il appliance con il seguente comando:
reboot
Effettuare l'upgrade della libreria OpenSSL alla versione più recente:
- Per determinare la versione del pacchetto installata, digitare il seguente comando:
$ rpm -qa openssl
- Se è necessario un upgrade, download i pacchetti più recenti dall'archivio MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/openssl-1.0.2u-2. MLOS2.x86_64. rpm
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/openssl-libs-1.0.2u-2. MLOS2.x86_64. rpm
- Copiare gli RPM scaricati nel passaggio precedente nella server TIE appliance.
- Connettersi al appliance utilizzando SSH e switch all'utente root con il seguente comando:
$ su -
- Modificare la directory nel percorso in cui sono stati copiati gli RPM.
- Per installarli, digitare il seguente comando:
rpm -Uvh --checksig openssl-1.0.2u-2.mlos2.x86_64.rpm openssl-libs-1.0.2u-2.mlos2.x86_64.rpm
- Riavviare il server TIE con il seguente comando:
reboot
- Verificare che i servizi TIE siano integri:
- Aprire la console ePO.
- Fare clic su Menu, Configurazione, quindi selezionare Impostazioni del server.
- Selezionare il Gestione della topologia server TIE sezione.
- Verificare lo stato di connettività di DXL, ATD e GTI di ogni server TIE istanza.
Effettuare l'upgrade della libreria OpenSSH alla versione più recente:
- Per determinare la versione del pacchetto installata, digitare il seguente comando:
$ rpm -qa openssh
- Se è necessario un upgrade, download i pacchetti più recenti dall'archivio MLOS:
- Copiare gli RPM scaricati nel passaggio precedente nella server TIE appliance.
- Connettersi al appliance utilizzando SSH e switch all'utente root con il seguente comando:
$ su –
- Modificare la directory nel percorso in cui sono stati copiati gli RPM.
- Per installarli, eseguire il seguente comando:
rpm -Uvh --checksig openssh-7.4p1-17.mlos2.x86_64.rpm openssh-server-7.4p1-17.mlos2.x86_64.rpm openssh-clients-7.4p1-17.mlos2.x86_64.rpm
- Riavviare il server TIE utilizzando il seguente comando:
reboot
- Verificare che i pacchetti siano stati aggiornati correttamente riavviando la connessione SSH.
Risoluzione dei problemi
Se il server TIE non viene avviato dopo l'upgrade di MLOS kernel:
- Riavviare il sistema. Nel menu di avvio, selezionare il kernel MLOS precedente.
- Dopo aver avviato il server TIE con il vecchio MLOS kernel, raccogliere un MER e contattare Assistenza tecnica.