]> git.ipfire.org Git - thirdparty/openembedded/openembedded-core.git/commit
linux-yocto: add script to generate kernel CVE_CHECK_IGNORE entries
authorRoss Burton <ross.burton@arm.com>
Fri, 25 Aug 2023 16:44:01 +0000 (17:44 +0100)
committerSteve Sakoman <steve@sakoman.com>
Sun, 27 Aug 2023 14:03:37 +0000 (04:03 -1000)
commitc7a71692b7ed4cc2187f4c82bf11e32e0ce32cb6
treea4e1ae65033503faee73e5cb581c55bba0e44bc1
parent0e6eb0f417079eaf76b003973c9d93338e6363b5
linux-yocto: add script to generate kernel CVE_CHECK_IGNORE entries

Instead of manually looking up new CVEs and determining what point
releases the fixes are incorporated into, add a script to generate the
CVE_CHECK_IGNORE data automatically.

First, note that this is very much an interim solution until the
cve-check class fetches data from www.linuxkernelcves.com directly.

The script should be passed the path to a local clone of the
linuxkernelcves repository[1] and the kernel version number. It will
then write to standard output the CVE_STATUS entries for every known
kernel CVE.

The script should be periodically reran as CVEs are backported and
kernels upgraded frequently.

[1] https://github.com/nluedtke/linux_kernel_cves

Note: for the backport this is not a cherry-pick of the commit in master
as the variable names are different. This incorporates the following
commits:

linux/generate-cve-exclusions: add version check warning
linux/generate-cve-exclusions.py: fix comparison
linux-yocto: add script to generate kernel CVE_STATUS entries

Signed-off-by: Ross Burton <ross.burton@arm.com>
Signed-off-by: Steve Sakoman <steve@sakoman.com>
meta/recipes-kernel/linux/generate-cve-exclusions.py [new file with mode: 0755]