- Grsecurity vừa đóng sổ dòng kernel 5.15 ở bản 5.15.203 — kèm theo ~1300 bản vá bảo mật/ổn định và 195 fix CVE mà upstream 5.15 LTS chưa bao giờ có.
- Con số này nói gì về khoảng cách giữa LTS chính thống và một đội backport độc lập.
TL;DR
Ngày 20/04/2026, grsecurity công bố bản patch cuối cùng cho dòng kernel Linux 5.15, cập nhật đồng bộ với upstream 5.15.203. Ấn tượng nhất không phải ở số hiệu version, mà ở khoảng cách với upstream: trong suốt vòng đời 5.15, grsecurity đã backport ~1300 fix bảo mật/ổn định mà upstream 5.15 LTS không bao giờ nhận, cộng thêm 195 CVE không có bản vá từ maintainer gốc. Sau bản cuối này, dòng 5.15 được giữ overlap vài tháng để khách hàng chuyển sang 6.6 hoặc 6.18.
Chuyện gì đang xảy ra
Grsecurity là patchset hardening kernel Linux thương mại do Open Source Security, Inc. duy trì. Mỗi dòng kernel LTS họ chọn support được review sâu hơn chuẩn upstream rất nhiều, nên việc "đóng sổ" một dòng thường kèm theo thống kê tổng kết — lần này là 5.15.203.
Theo thông báo chính thức, số liệu cuối:
- ~1300 backport bảo mật/ổn định mà upstream 5.15 LTS không có.
- 195 CVE có fix trong grsec nhưng upstream chưa vá.
- Bản patch cuối đồng bộ với upstream 5.15.203 (tập trung vá AF_RXRPC, VMA leak trong
__mmap_region(), Intel i915 GPU hang, igb TX queue stall).
Dòng 5.15 chính thức hết cam kết support cuối 2025; hiện tại đang trong giai đoạn overlap theo policy "duy trì vài tháng sau EOL để khách kịp di chuyển".
Vì sao đáng chú ý
Con số 1300 không phải lần đầu xuất hiện. Khi dòng 4.4 đóng sổ năm 2020, grsec báo cáo hơn 1250 fix bảo mật thiếu khỏi upstream 4.4 LTS. Pattern lặp lại ở 5.15 khẳng định điều grsec đã nói từ lâu: upstream LTS process có lỗ hổng hệ thống, không phải tai nạn đơn lẻ.
Hai flaw mà grsec chỉ ra nhiều năm:
- Upstream chỉ backport khi tác giả gắn tag
Fixes:hoặcCc: stable. Nhiều patch security-relevant không có tag → rớt khỏi radar. - Nếu patch không apply sạch vào kernel cũ và không ai volunteer adapt, commit đó bị skip — kể cả khi đã có tag.
Kết quả: dùng kernel LTS upstream, bạn đang thiếu hàng trăm fix mà đội maintainer đã thấy nhưng không có resource backport.
Technical facts
Quy trình backport của grsec khác upstream ở chỗ review 100% upstream commit bất kể tag, chạy song song hệ thống automated để:
- Chặn backport nếu commit đã nằm trong "bad-fix database" (fix gốc sau này phát hiện sai).
- Tra cứu commit introduce bug để xác định chính xác kernel nào bị ảnh hưởng.
- Verify không regress qua test matrix đa kiến trúc (x86, ARM, MIPS) và đa distro config.
Song song đó là lớp bảo vệ class-level — không phụ thuộc patch riêng lẻ:
| Lớp bảo vệ | grsecurity 5.15 | Upstream 5.15 LTS |
|---|---|---|
| Hardware CFI / Intel CET | Có (RAP compiler plugin, 8 năm) | Không |
| Auto Spectre mitigation | Respectre plugin (static analysis) | Ad-hoc thủ công |
| SLAB hardening | AUTOSLAB (compiler plugin) | Không |
| ASLR / W^X strict | PaX (production-grade) | Một phần |
So sánh với upstream LTS process
Ví dụ kinh điển grsec công bố trong bài Teardown of a Failed Linux LTS Spectre Fix: CVE-2019-15902 (Spectre qua ptrace syscall). Upstream maintainer đảo vị trí 2 dòng code để dập compiler warning, làm biến index được dùng truy cập array trước khi đi qua array_index_nospec(). Compiler coi lời gọi đó là dead store và tối ưu đi mất — fix hoàn toàn vô hiệu.
Bản vá hỏng này được merge vào 4.4, 4.9, 4.14, 4.19, và 5.2 upstream LTS, tạo cảm giác an toàn giả. Grsec tự backport đúng từ 7/2019; khi cherry-pick upstream tạo conflict git, grsec spot ngay và giữ fix riêng. Với các Spectre instance khác mà họ chưa thấy, Respectre compiler plugin xử lý generic qua static analysis.
Ai đang dùng
Grsec target profile high-security:
- DoD / government: Draper recommend grsec cho mọi DoD customer.
- Security firms: Immunity Inc — 15 năm chuyên break system — dùng grsec để bảo vệ chính họ.
- Container / shared compute: Docker, Kubernetes, LXC, OpenVZ — kernel exploit là path compromise phổ biến nhất; grsec là option duy nhất giảm thiểu mà vẫn giữ perf.
- Web hosting multi-tenant nơi attacker có thể mua shell hợp pháp.
- Embedded / server / desktop trên x86, ARM, MIPS.
Limitations & pricing
Grsec không phát hành binary — chỉ source patch, khách tự apply, configure, compile. Do GPLv2, grsec không có bản free evaluation: ai nhận patch đều có full GPL rights, kể cả redistribute hay bán lại. Model tiền: subscription như RHEL/Ubuntu — trả cho update, knowledge base, pro support, custom dev, không phải license phần mềm. Không có public pricing tiers; liên hệ sales để lấy offer. Module ngoài tree cần source code để compiler plugin instrument; RAP (CFI) đôi khi yêu cầu fix type correctness. Official patch sẵn cho ZFS, NVIDIA, AUFS, VirtualBox, VMware Workstation.
What's next
Nếu bạn còn chạy grsec 5.15 trong production, lộ trình rõ:
- Linux 6.6 — support tới ít nhất cuối 2026.
- Linux 6.18 — support tới ít nhất cuối 2028, dòng mới nhất.
Policy grsec cho phép 3 kernel đồng thời được maintain vài tháng mỗi kỳ retire, nên có thể nhảy thẳng từ 5.15 sang 6.18 mà không cần ghé 6.6. Hỗ trợ migration là một phần subscription.
Câu chuyện 5.15 kết thúc với đúng ~1300 lý do để dùng grsec thay vì upstream LTS trần — và có vẻ 6.6 sẽ viết tiếp pattern đó trong 2–3 năm tới.
Nguồn: grsecurity.net, FAQ, XLTS Sunsetting, Life of a Bad Security Fix.
