غالبًا ما تكون الثغرات الأمنية في Linux قليلة ومتباعدة ، لكن التصحيح الذي أصدرته شركة Canonical يوضح أن هذا ليس هو الحال دائمًا. الشركة التي يديرها مارك شاتلوورث أصدر تحديث kernel لـ Ubuntu 16.04 LTS (Xenial Xerus) الذي يصلح ما يصل إلى خمسة أخطاء اكتشفها باحثون أمنيون مختلفون في 4.4 kernel ، وهي نواة موجودة في نظام التشغيل الذي أصدرته Canonical منذ 3 سنوات ، في أبريل 2016. تتأثر جميع الإصدارات المستندة إلى Ubuntu أيضًا بهذا الاستخدام نفس النواة.
الإصلاح موجود بالفعل في Linux 4.15 HWE الذي يشتمل على Ubuntu 18.04 LTS ، لذا يبدو أن إصدارات دورة الحياة الأخرى التي تبلغ 9 أشهر ، أي غير LTS قد تأثرت أيضًا. الحقيقة هي أن Canonical جعلت هذا التحديث متاحًا فقط للمستخدمين الذين تعرض نظام التشغيل الخاص بهم للاختراق والذين ما زالوا يتمتعون بالدعم الرسمي. ستستمتع Ubuntu 14.04 بالدعم حتى 30 أبريل ولكن نواةها لا تتأثر بـ 5 عيوب المذكورة في هذه المقالة.
يعمل تحديث Ubuntu 16.04 Kernel على إصلاح 5 أخطاء أمنية
الأخطاء الخمسة التي تم إصلاحها هي:
- El CVE-2017-18241- فشل تطبيق نظام ملفات F2FS في معالجة خيار التحميل بشكل غير صحيح noflush_merge.
- CVE-2018-7740: تتعلق بالخطأ السابق ولكن في هذه الحالة في حالات زائدة متعددة في التنفيذ هوجيتلبفس. قد يسمح هذا الخطأ والخطأ السابق لمستخدم ضار محلي باستغلال الثغرة الأمنية من خلال رفض الخدمة.
- El CVE-2018-1120 تم اكتشافه في نظام الملفات com.procfs وسمح لمستخدم ضار محلي بحظر بعض الأدوات المستخدمة لفحص نظام الملفات com.procfs للإبلاغ عن حالة نظام التشغيل لأنه فشل في إدارة عمليات التعيين بشكل صحيح في عناصر الذاكرة.
- CVE-2019-6133 سمح لمستخدم ضار محلي بالوصول إلى الخدمات التي تخزن التراخيص.
- CVE-2018-19985 قد يسمح لمهاجم قريب ماديًا بالتسبب في تعطل النظام.
الكنسي توصي جميع المستخدمين المتأثرين بالتحديث في أقرب وقت ممكن إلى إصدار kernel 4.4 المتوفر بالفعل في المستودعات الرسمية. أنا شخصياً ، بالنظر إلى أنه يجب استغلال جميع الأخطاء من قبل مهاجم محلي ، سأقوم بالتحديث قريبًا ، لكنني لن أقلق كثيرًا أيضًا. وأنت؟