#needrestart 3.11 was recently released:
https://github.com/liske/needrestart/releases/tag/v3.11

This small release fixes warnings if no cgroup could be determined for processes. It also allows to ignore containers by their names and to customize the globs used to search for linux kernel images.

It was uploaded to Debian unstable just in time before the soft freeze for Debian trixie started on 2025-04-15 😅 Today it has migrated to trixie 🥳

#debian #trixie #linux

Lately I've been doing more #SelfHosting again due to the current situation. Of course, I'm paying particular attention to power consumption and noise. After good experiences with the #ARM64 architecture, even with power-hungry applications such as Mastodon, I'm now using the smartphone technology for my homeservers, too.

There are #SBCs with more open hardware, but the #RaspberryPi is widely available, well documented, powerful and inexpensive. And it is available with up to 16 GB of RAM.

Anyone operating a server on the Internet must install #security updates quickly. However, many people forget to restart running software so that the new version runs instead of the old one. The #needrestart tool helps with this on Debian-based Linux systems, which unfortunately is usually not pre-installed.

On my Raspberry Pi 4, needrestart always runs correctly (automatically after apt upgrade). On my Raspberry Pi 5, however, I first had to create a configuration file as described by the main developer here:
https://github.com/liske/needrestart/blob/master/README.raspberry.md
Previously, the tool always claimed that a reboot was necessary because it thought an outdated Linux kernel was running.

Next, I want to activate #LUKS hard drive encryption on both raspis. Unfortunately, this is not as easy under #Raspbian or #RaspberryPiOS as on other Debian systems. If you have managed this: Please let me know how you did it!

#rpi #rpi5 #raspi #raspberrypi5 #homeserver #encryption #selfhost #selfhosted

In letzter Zeit mache ich aus gegebenem Anlass wieder mehr #SelfHosting. Natürlich achte ich dabei besonders auf den Stromverbrauch. Nach guten Erfahrungen mit der #ARM64-Architektur selbst bei leistungshungrigen Anwendungen wie Mastodon setze ich jetzt auch zuhause auf auf die aus Smartphones bekannte Technologie.

Es gibt zwar #SBCs mit offenerer Hardware, aber der #RaspberryPi ist überall erhältlich, gut dokumentiert, leistungsfähig und preiswert. Und es gibt ihn mit bis zu 16 GB RAM.

Wer einen Server am Internet betreibt, muss zügig #Sicherheitsupdates einspielen. Viele vergessen aber, laufende Software neuzustarten, damit die neue Version läuft statt der alten. Dabei hilft auf debianbasierten Linux-Systemen das Tool #needrestart, das leider meist nicht vorinstalliert ist.

Auf meinem Raspberry Pi 4 läuft needrestart schon immer korrekt (automatisch nach apt upgrade). Auf meinem Raspberry Pi 5 musste ich aber erst eine Konfigurationsdatei anlegen, wie es der Hauptentwickler hier beschreibt:
https://github.com/liske/needrestart/blob/master/README.raspberry.md
Bis dahin behauptete das Tool immer, dass ein reboot nötig sei, weil ein veralteter Linux-Kernel laufe.

Als nächstes will ich auf beiden Raspis die Festplattenverschlüsselung aktivieren. Das ist unter #Raspbian bzw. #RaspberryPiOS leider nicht so einfach wie auf anderen Debian-Systemen. Wenn ihr das geschafft habt: Schreibt gern eure Tipps!

#rpi #rpi5 #raspi #raspberrypi5 #homeserver #howto #til

#needrestart 3.9 was released:
https://github.com/liske/needrestart/releases/tag/v3.9

Many thanks to all the bug reporters and contributors! 🙏

It has already migrated to Debian Trixie and and I appreciate (timely) feedback so problems might be solved upstream before trixie freeze (2025-04-15) begins 😉

I'm already aware of a dash related issue with the changes for a better systemd --user support. You can track known upstream issues which will be fixed in 3.10 here: https://github.com/liske/needrestart/milestone/15

#debian #Trixie #linux

@jpmens @antondollmaier

You could add -k to only check the kernel, so needrestart did not need to scan all the processes.

(#needrestart -vkp shows the found kernel files and their version string)

Linux LPE через Needrestart (CVE-2024-48990)

19 ноября 2024 года компания Qualys публично раскрыла информацию о пяти уязвимостях в утилите Needrestart . Эти уязвимости касаются локальной эскалации привилегий( LPE ) и были найдены в бинарном файле. CVE-2024-48990 затрагивает версии Needrestart до 3.8 . В Ubuntu она применяется по умолчанию с версии 21.04 . Также проблема актуальна для Debian , Fedora и других дистрибутивов Linux . LPE ( Local Privilege Escalation ) позволяет злоумышленнику повысить свои привилегии в системе, получив доступ к действиям, доступным только администраторам (например, root -доступ). Это может использоваться для установки вредоносного ПО, управления системой, обхода ограничений безопасности и доступа к конфиденциальным данным. Основная цель — получить полный контроль над системой. Уязвимость имеет оценку в 7.8 баллов по CVSS .

https://habr.com/ru/articles/866582/

#linux #lpe #needrestart #cve #2024

Security Week 2448: десятилетняя уязвимость в утилите needrestart

На прошлой неделе специалисты компании Qualys сообщили об обнаружении достаточно серьезной уязвимости в утилите needrestart . Данная утилита используется, в частности, в ОС Ubuntu Server начиная с версии 21.04 и запускается после установки и обновления программных пакетов. Ее задача — определить, что система или отдельные программы должны быть перезапущены в результате произведенных в системе изменений и инициировать перезапуск. Ошибки в коде программы обеспечивают сразу несколько способов выполнения произвольного кода. В результате получается надежное средство повышения привилегий обычного пользователя до root, так как сама needrestart выполняется с привилегиями суперпользователя. Формально в утилите были зафиксированы пять разных уязвимостей. Часть из них получила достаточно высокий рейтинг по шкале CVSS — 7,8 балла. Все уязвимости закрыты в версии needrestart 3.8, причем существовали они как минимум начиная с версии 0.8, выпущенной в 2014 году. Именно тогда в утилиту была добавлена возможность отслеживания интерпретаторов языков высокого уровня. Если сам интерпретатор был обновлен, вполне логично, что необходимо перезапустить программы на этом языке программирования. Отсутствие необходимых проверок позволяет в теории запустить не настоящий, установленный в системе, интерпретатор кода на языке Python или Ruby, а произвольную программу, путь к которой может задать атакующий.

https://habr.com/ru/companies/kaspersky/articles/861020/

#ubuntu #needrestart