Foram detectadas vulnerabilidades no kernel Linux que requerem um upgrade de kernel. Para obter mais informações, consulte
https://www.mcafee.com/enterprise/en-us/threat-center/product-security-bulletins.html.
Para aplicar as atualizações de segurança mais recentes, upgrade os pacotes de kernel de MLOS e aplicativos manualmente no servidor TIE appliance, conforme descrito abaixo.
IMPORTANTE: O procedimento a seguir foi testado com os pacotes especificados. A implementação dessa correção com outras versões pode falhar e é válida possível.
Fazer upgrade do kernel de MLOS para a versão mais recente:
OBSERVAÇÃO: Programe um horário de inatividade para o MLOS kernel processo de upgrade.
- Faça download do mkinitrd em vmid pacotes do repositório de MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/mkinitrd-6.1-42. mlos2.x86_64. rpm
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/vmid-1.0-1. mlos2.x86_64. rpm
- Se você estiver executando em um hardware vazio com um microchip da Intel, download o Microcódigo da Intel pacote do repositório de MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/intel-ucode-20191115-4.mlos2.x86_64. rpm
- Faça download dos pacotes de kernel do repositório de MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/kernel-4.9.206-1. mlos2.x86_64. rpm
- Copie os RPMs obtidos por download na etapa anterior para o servidor TIE appliance.
- Conecte-se ao appliance usando SSH e switch ao usuário raiz com o seguinte comando:
$ su -
- Altere o diretório para o local em que os RPMs foram copiados.
- Para instalá-las, digite os seguintes comandos:
NOTAS
- Se você não estiver executando em um hardware vazio com um microchip da Intel, etapa Cê em exibir Não são necessárias.
- Verifique se usar o pacote de kernel correto que você baixou.
- Confirme se mkinitrd Já foi feito o upgrade:
rpm -qa mkinitrd
- Se o download mkinitrd a versão não está instalada, upgrade ela:
rpm -Uvh --checksig vmid-1.0-1.mlos2.x86_64.rpm mkinitrd-6.1-42.mlos2.x86_64.rpm
- Confirme se o download do microcódigo do Intel® ou de um mais recente já está instalado:
rpm -qa | grep intel-ucode
- Se o download intel-ucodeou uma versão mais recente é válida instalado, digite o seguinte comando para instalá-lo:
rpm -Uvh --checksig --nopost --nodeps intel-ucode-20191115-4.mlos2.x86_64.rpm
- Confirme se o kernel obtido por download ou se um novo já está instalado:
rpm -qa | grep kernel
- Se o download kernel ou outro mais recente for válida instalado, digite o seguinte comando para instalá-lo:
OBSERVAÇÃO: Dependendo do MLOS atual kernel em uso, você poderá ver alguns avisos inofensivos.
rpm -ivh kernel-4.9.206-1.mlos2.x86_64.rpm
- Após a conclusão da upgrade, verifique se o novo kernel está instalado e selecionado como padrão com o seguinte comando:
cat /boot/grub/grub.conf
Exemplo da saída que você vê:
padrão = 0
[...]
títula McAfee servidor da plataforma TIE (vmlinuz-4.9.189-1. mlos2.x8664
[...]
Se o padrão não corresponder à entrada associada ao kernel instalado, atualização o valor usando um editor como vi.
- Para concluir o processo, reinicialize o appliance com o seguinte comando:
reboot
Faça upgrade da biblioteca OpenSSL para a versão mais recente:
- Para determinar qual versão do pacote está instalada, digite o comando a seguir:
$ rpm -qa openssl
- Se for necessária uma upgrade, download os pacotes mais recentes do repositório de MLOS:
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/openssl-1.0.2u-2. mlos2.x86_64. rpm
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/openssl-libs-1.0.2u-2. mlos2.x86_64. rpm
- Copie os RPMs obtidos por download na etapa anterior para o servidor TIE appliance.
- Conecte-se ao appliance usando SSH e switch ao usuário raiz com o seguinte comando:
$ su -
- Altere o diretório para o local em que os RPMs foram copiados.
- Para instalá-las, digite o seguinte comando:
rpm -Uvh --checksig openssl-1.0.2u-2.mlos2.x86_64.rpm openssl-libs-1.0.2u-2.mlos2.x86_64.rpm
- Reinicialize o servidor TIE com o seguinte comando:
reboot
- Verifique se os serviços do TIE estão íntegros:
- Abra o console do ePO.
- Clique Menu, Configuração, e selecione Configurações do servidor.
- Selecione o Gerenciamento de topologia do servidor TIE seção.
- Verifique o status de conectividade de do DXL, ATD e GTI de cada instância do servidor TIE.
Faça upgrade da biblioteca OpenSSH para a versão mais recente:
- Para determinar qual versão do pacote está instalada, digite o comando a seguir:
$ rpm -qa openssh
- Se for necessária uma upgrade, download os pacotes mais recentes do repositório de MLOS:
- Copie os RPMs obtidos por download na etapa anterior para o servidor TIE appliance.
- Conecte-se ao appliance usando SSH e switch para o usuário raiz com o seguinte comando:
$ su –
- Altere o diretório para o local em que os RPMs foram copiados.
- Para instalá-las, execute o seguinte comando:
rpm -Uvh --checksig openssh-7.4p1-17.mlos2.x86_64.rpm openssh-server-7.4p1-17.mlos2.x86_64.rpm openssh-clients-7.4p1-17.mlos2.x86_64.rpm
- Reinicialize o servidor TIE usando o seguinte comando:
reboot
- Verifique se os pacotes foram atualizados com êxito reiniciando a conexão SSH.
Solução
Se ocorrer uma falha na inicialização do servidor TIE após a MLOS kernel upgrade:
- Reinicialize o sistema. No menu de inicialização, selecione o kernel de MLOS anterior.
- Depois de inicializar o servidor TIE com o kernel de MLOS antigo, colete um MER e entre em contato com o Suporte técnico.