Canonical пуска много малки актуализации на ядрото на Ubuntu, за да отстрани различни недостатъци в сигурността. Много от тези грешки се появяват в не-LTS версии на ядрото и е, че Canonical издава новини поне два пъти всяка година, през април и октомври. Операционната система, на която се основава, е по-здрава, отчасти защото въвежда нови функции по-бавно. Но това не означава, че е без недостатъци и Debian стартира вчера нови версии на ядрото за вашата операционна система.
Debian 10 бе освободен по-рано този месец и вече сте получили първата си актуализация на защитата на ядрото. Това е грешка, открита от Jann Horn от Google Project Zero, инициатива за сигурност на компанията за търсачки, която, честно казано, не знам дали е по-известна с това, че помага за намирането на недостатъци в сигурността или за публикуването им пред създателите на търсачката Въпросният софтуер е поправил грешката. Във всеки случай откритият от Хорн недостатък е каталогизиран като висока тежест.
Debian 10 получава първата си актуализация на защитата на ядрото
Грешката, която новата версия на ядрото поправя, е CVE-2018 13272- и описва проблем със сигурността, който «локален нападател може да използва, за да получи суперпотребителски (корен) достъп, като се възползва от определени сценарии с взаимоотношение родител-дете процес, където родителят отпада привилегии и извиква execve (потенциално позволяващ контрол на нападателя)«. Неуспех засяга Бъстър, Стреч и Джеси.
Новите версии на ядрото са 19.37-5 + deb10u1 в «Buster», 4.9.168-1 + deb9u4 в "Stretch" и 3.16.70-1 + deb8u1 Джеси. Версия на Debian 10 включва и пластир за регресия, въведен в оригиналния пластир за уязвимост CVE-2019 11478- при изпълнението на опашката за препредаване на TCP. Както можем да очакваме при критична грешка, Debian Project препоръчва актуализиране възможно най-скоро.