FERRAMENTAS LINUX: Rocky Linux 10 Kernel Security Update: RLSA-2026-30129

domingo, 28 de junho de 2026

Rocky Linux 10 Kernel Security Update: RLSA-2026-30129

 



Guia prático para aplicar a atualização crítica do kernel RLSA-2026-30129 no Rocky Linux 10. Comandos reais, troubleshooting e boas práticas para administradores de infraestrutura.


Em 27 de junho de 2026, a Rocky Linux publicou o advisory RLSA-2026:30129, uma atualização de segurança Important para o kernel do Rocky Linux 10. Esta atualização corrige oito vulnerabilidades (CVEs) que afetam desde o networking stack até subsistemas de armazenamento e RDMA.

A atualização eleva o kernel para a versão 6.12.0-211.28.1.el10_2 e é classificada como crítica para ambientes de produção que utilizam:

  • NVMe over TCP (CVE-2026-46135)

  • RDMA/InfiniBand (CVE-2026-45898, CVE-2026-46117, CVE-2026-46145)

  • TCP/IPv6 em alta carga (CVE-2026-43198, CVE-2026-43038)

  • Storage SAN com HBAs QLogic (CVE-2026-43414)

Este guia apresenta o procedimento completo de atualização, desde a avaliação de impacto até a validação pós-reboot, com exemplos práticos e saídas de terminal reais.


bash
# Verificação rápida do ambiente
$ uname -r
6.12.0-200.1.1.el10_2.x86_64

$ sudo dnf check-update | grep kernel
kernel.x86_64 6.12.0-211.28.1.el10_2 rocky10-updates

⚠️ Armadilha comum: Iniciantes aplicam a atualização do kernel sem verificar dependências de módulos externos (DKMS, drivers proprietários). O novo kernel pode não carregar módulos compilados para a versão anterior, resultando em falha de boot ou perda de funcionalidade (ex: drivers NVIDIA, adaptadores FC proprietários).


Passo a Passo


1. Análise de Impacto e Planejamento

Antes de atualizar, identifique quais subsistemas serão afetados:

bash
# Listar módulos carregados que podem ter sido corrigidos
$ lsmod | grep -E "qla2xxx|nvmet_tcp|mana|iwcm|rpc"

# Verificar se o sistema usa NVMe over TCP
$ dmesg | grep -i nvmet_tcp | head -5
[    3.142187] nvmet_tcp: loaded

# Verificar uso de RDMA
$ rdma link show 2>/dev/null || echo "RDMA não configurado"

Subsistemas corrigidos por esta atualização:


2. Agendamento de Janela de Manutenção

Para ambientes críticos, agende um reboot durante janela de baixa demanda:

bash
# Verificar uptime e carga atual
$ uptime
 14:32:01 up 87 days,  4:12,  3 users,  load average: 1.42, 1.38, 1.35

# Verificar se há processos com grandes tempos de execução
$ ps -eo pid,comm,etime,args --sort=-etime | head -10

3. Atualização do Kernel

Passo 3.1 — Sincronizar repositórios:

bash
$ sudo dnf clean all
$ sudo dnf makecache
Rocky Linux 10 - BaseOS                   1.2 MB/s | 8.4 MB     00:07
Rocky Linux 10 - AppStream                2.1 MB/s | 12.3 MB    00:05
Rocky Linux 10 - Updates                  1.8 MB/s | 6.7 MB     00:03
Metadata cache created.

Passo 3.2 — Instalar a atualização do kernel:

bash
$ sudo dnf update kernel
Dependencies resolved.
================================================================================
 Package        Arch   Version                         Repository         Size
================================================================================
Upgrading:
 kernel         x86_64 6.12.0-211.28.1.el10_2          rocky10-updates   12 M
 kernel-core    x86_64 6.12.0-211.28.1.el10_2          rocky10-updates   41 M
 kernel-modules x86_64 6.12.0-211.28.1.el10_2          rocky10-updates   35 M

Transaction Summary
================================================================================
Upgrade  3 Packages

Total download size: 88 M
Is this ok [y/N]: y

Por que o dnf update kernel e não dnf upgrade? Atualizar apenas o kernel reduz o risco de alterações não intencionais em outros pacotes. Após validar o novo kernel, você pode atualizar o restante do sistema.

Passo 3.3 — Verificar a instalação:

bash
$ rpm -q kernel
kernel-6.12.0-200.1.1.el10_2.x86_64
kernel-6.12.0-211.28.1.el10_2.x86_64

$ sudo grubby --info=DEFAULT | grep title
title="Rocky Linux (6.12.0-211.28.1.el10_2.x86_64) 10"

4. Configuração do Boot

Por padrão, o GRUB inicializa com o kernel mais recente. Para verificar:

bash
# Verificar o kernel padrão
$ sudo grubby --default-kernel
/boot/vmlinuz-6.12.0-211.28.1.el10_2.x86_64

# Listar todos os kernels disponíveis
$ sudo grubby --info=ALL | grep -E "^index|^title"
index=0
title="Rocky Linux (6.12.0-211.28.1.el10_2.x86_64) 10"
index=1
title="Rocky Linux (6.12.0-200.1.1.el10_2.x86_64) 10"

5. Reinicialização e Validação

Passo 5.1 — Notificar usuários e reiniciar:

bash
# Enviar broadcast para usuários logados
$ sudo wall "Sistema será reiniciado em 5 minutos para atualização crítica do kernel. Salve seus trabalhos."

# Aguardar 5 minutos (ou usar shutdown com delay)
$ sudo shutdown -r +5 "Aplicação de atualização crítica do kernel RLSA-2026-30129"

Passo 5.2 — Pós-reboot — validar o novo kernel:

bash
$ uname -r
6.12.0-211.28.1.el10_2.x86_64

$ cat /proc/version
Linux version 6.12.0-211.28.1.el10_2.x86_64 (mockbuild@rocky-build) (gcc (GCC) 14.2.1 20250901 (Rocky 14.2.1-3)) #1 SMP PREEMPT_DYNAMIC Fri Jun 26 10:00:00 UTC 2026

Passo 5.3 — Validar módulos e subsistemas corrigidos:

bash
# Verificar se os módulos críticos carregaram corretamente
$ lsmod | grep -E "qla2xxx|nvmet_tcp|mana|iwcm|rxrpc"
qla2xxx              524288  0
nvmet_tcp             65536  0
mana                  98304  0
iwcm                  32768  0
rxrpc                196608  0

# Verificar logs de boot para erros
$ sudo dmesg | grep -i "error\|fail\|panic" | tail -20

# Verificar integridade do sistema de arquivos (se aplicável)
$ sudo journalctl -b -p 3 --no-pager | tail -20

6. Remoção de Kernels Antigos (Opcional)

Após validar o novo kernel por pelo menos 7 dias, remova versões antigas:

bash
# Listar kernels instalados
$ rpm -qa | grep ^kernel- | sort
kernel-6.12.0-200.1.1.el10_2.x86_64
kernel-6.12.0-211.28.1.el10_2.x86_64
kernel-core-6.12.0-200.1.1.el10_2.x86_64
kernel-core-6.12.0-211.28.1.el10_2.x86_64
kernel-modules-6.12.0-200.1.1.el10_2.x86_64
kernel-modules-6.12.0-211.28.1.el10_2.x86_64

# Remover versão antiga (manter apenas a mais recente + uma reserva)
$ sudo dnf remove kernel-6.12.0-200.1.1.el10_2.x86_64

Por que manter dois kernels? Em caso de falha no novo kernel, você pode selecionar o kernel anterior no GRUB durante o boot. Mantenha sempre pelo menos o kernel atual e o anterior.


📘  Indicação de Leitura 


Livro: Segurança em Servidores Linux Ataque e Defesa

Esse livro  é um guia prático e abrangente sobre a segurança do sistema operacional Linux como um todo. O livro ensina a pensar como um atacante para fortalecer a defesa do servidor, abordando tópicos fundamentais como:

  • Ferramentas de rede: Nmap, Netcat, knockd.
  • Monitoramento: de arquivos e sistemas de arquivos.
  • Defesas: contra malware e ataques DDoS.
  • Descoberta de vulnerabilidades: como invasores encontram pontos fracos.


Segurança em Servidores Linux Ataque e Defesa: (anúncio) ->  https://link.amazon/B00Oln1Rw

Eu ganho uma comissão quando você faz uma compra.


Troubleshooting


Problema 1 — Falha no boot com o novo kernel (kernel panic)

Sintoma: Após o reboot, o sistema não inicializa ou entra em kernel panic.

Solução:

1. Reinicie o sistema e, durante a tela do GRUB, selecione o kernel anterior (geralmente a segunda opção).

2. Com o sistema funcionando no kernel antigo, investigue a causa:

bash
# Verificar logs do boot que falhou
$ sudo journalctl -b -1 -p 3 --no-pager | head -50

# Verificar incompatibilidade de módulos
$ sudo dracut --verbose --force /boot/initramfs-6.12.0-211.28.1.el10_2.x86_64.img 6.12.0-211.28.1.el10_2.x86_64

3.Se o problema for um driver proprietário (ex: NVIDIA), recompile-o para o novo kernel:

bash
# Exemplo para driver NVIDIA (adaptar conforme o fornecedor)
$ sudo /usr/bin/nvidia-installer --update --dkms

4.Tente o boot novamente com o novo kernel.

Problema 2 — Performance degradada após a atualização

Sintoma: Aplicações que usam NVMe over TCP ou RDMA apresentam latência elevada.

Solução:

bash
# Verificar configuração de IRQ affinity
$ cat /proc/irq/*/smp_affinity

# Verificar se o novo kernel alterou parâmetros de sysctl
$ sysctl -a | grep -E "net.core|net.ipv4|vm" | diff /etc/sysctl.conf -

# Restaurar parâmetros otimizados, se necessário
$ sudo sysctl -p /etc/sysctl.conf

# Para NVMe over TCP, verificar filas
$ cat /sys/module/nvmet_tcp/parameters/*
Conclusão


A atualização RLSA-2026-30129 corrige vulnerabilidades críticas em oito subsistemas do kernel do Rocky Linux 10, incluindo:


  • Race conditions em TCP/IPv6 que podem levar a deadlocks ou execução arbitrária
  • Type confusion no handler de ICMPv6 que pode causar corrupção de memória
  • Double free no driver QLogic Fibre Channel (CVSS 9.8)
  • Buffer overflow no subsistema RDMA/mana
  • Race condition em NVMe over TCP que pode causar corrupção de estado
  • Storage SAN com HBAs QLogic
  • NVMe over TCP em alta escala
  • RDMA/InfiniBand para HPC ou baixa latência
  • Servidores com alto tráfego TCP/IPv6

A atualização é obrigatória para ambientes que utilizam:


O procedimento de atualização é seguro quando executado com planejamento adequado: análise de impacto, janela de manutenção, validação pós-reboot e manutenção de kernel reserva.

Cezar Henrique da Costa e Souza at
Marcadores: Linux, Android, Segurança

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)