قبل ساعات قليلة نشرنا مقالاً يتحدث عن ما يعرف بـ تأمين، وحدة أمان جديدة ستصل مع Linux 5.4. من بين ما ستفعله هذه الوحدة ، علينا المساعدة في تجنب تنفيذ التعليمات البرمجية التعسفية. لقد وصل اليوم المثال الذي يشرح أهميتها بشكل أفضل قامت Canonical بإصلاح العديد من نقاط الضعف ويمكن استخدام بعضها لتنفيذ تعليمات برمجية عشوائية ، وهو أمر سيكون أكثر صعوبة بعد إصدار Linux 5.4.
في المجموع ، تم تصحيحها 6 نقطة ضعف جمعت في ثلاثة تقارير: USN-4142-1 الذي يؤثر على Ubuntu 19.04 و Ubuntu 18.04 و Ubuntu 16.04 ، فإن USN-4142-2 وهو نفس الإصدار السابق ولكنه يركز على Ubuntu 14.04 و Ubuntu 12.04 (كلاهما في إصدارات ESM) و USN-4143-1 ، والذي يؤثر على الإصدارات الثلاثة التي لا تزال تتمتع بالدعم الرسمي. تم تصنيف جميع نقاط الضعف بأنها متوسطة الاستعجال.
ست نقاط ضعف تشرح سبب اهتمامنا بـ Lockdown
كانت نقاط الضعف التي تم تصحيحها كما يلي:
- CVE-2019-5094: توجد ثغرة أمنية قابلة للاستغلال في تنفيذ التعليمات البرمجية في وظيفة ملف الحصة E2fsprogs 1.45.3. يمكن أن يتسبب قسم ext4 المصمم خصيصًا في تجاوز حدود الكتابة في الكومة ، مما يؤدي إلى تنفيذ التعليمات البرمجية. مهاجم يمكنك إتلاف قسم لتنشيط هذه الثغرة الأمنية.
- CVE-2017-2888: توجد ثغرة أمنية يمكن استغلالها لتجاوز عدد صحيح عند إنشاء ملف سطح RGB في SDL 2.0.5. يمكن أن يتسبب الملف المصمم خصيصًا في وجود عدد صحيح الفائض مما يؤدي إلى تخصيص مساحة قليلة جدًا من الذاكرة مما قد يؤدي إلى ملف تجاوز سعة المخزن المؤقت وتنفيذ الكود المحتمل. يمكن للمهاجم توفير ملف ملف صورة مصمم خصيصًا لإثارة هذه الثغرة الأمنية.
- CVE-2019-7635, CVE-2019-7636, CVE-2019-7637 y CVE-2019-7638: SDL (طبقة وسائط DirectMedia بسيطة) تصل إلى 1.2.15 و 2.x حتى 2.0.9 بها ملف lقراءة overbuffer القائمة على Blit1to4 في video / SDL_blit_1.c و SDL_GetRGB في video / SDL_pixels.c و SDL_FillRect in video / SDL_surface.c و Map1toN في الفيديو / SDL_pixels.c.
يؤثر أول ما سبق أيضًا على Ubuntu 19.10 Eoan Ermine ، لذلك سيتم إصدار التصحيحات قريبًا للإصدار الذي سيصدر في 17 أكتوبر. بعد تثبيت التحديثات ، يجب عليك إعادة تشغيل الكمبيوتر لتصبح التغييرات سارية المفعول. وعلى الرغم من أنها ليست إخفاقات خطيرة ، تأمين، سوف نكون بانتظارك.