Prošlog utorka, Canonical Pokrenuo je nove verzije kernela za Ubuntu 19.04 i Ubuntu 18.04. Iako je dio onoga što je objavljeno za Bionic Beaver također portiran na Xenial Xerus, verzija Ubuntua objavljena u aprilu 2016. nije dobila konkretnu verziju do danas: kompanija koju vodi Mark Shuttleworth također je objavila ažuriranje kernela za Ubuntu 16.04 da ispravi ukupno šest grešaka, jednu od njih iz 2018. i nijednu preozbiljnu.
Za razliku od verzija objavljenih 23., ono što je objavljeno jučer dostupno je samo korisnicima Ubuntu 16.04, tačnije onima koji još uvijek koriste Linux 4.4 kernel. To ne utiče na korisnike koji su nadogradili na noviju verziju Ubuntua ili njegovog kernela. U nastavku ćemo detaljno objasniti šta je nova verzija ispravila.
Šta kernel popravlja linux-image 4.4.0-157.185
- CVE-2018-20836: Otkriveno je da uvjet trke postoji u implementaciji Serial Attached SCSI (SAS) u Linux kernelu. Lokalni napadač bi to mogao iskoristiti da izazove uskraćivanje usluge (pad sistema) ili da izvrši proizvoljni kod. Prioritet: nizak.
- CVE-2019-10142: U upravitelju hipervizora Freescale otkriveno je prekoračenje cijelog broja (PowerPC) u Linux kernelu. Lokalni napadač sa pristup pisanju u /dev/fsl-hv bi to mogao iskoristiti da izazove uskraćivanje usluge (pad sistema) ili eventualno izvršavanje proizvoljnog koda. Prioritet: vrlo nizak, zanemarljiv.
- CVE-2019-11833: Otkriveno je da implementacija ext4 sistema datoteka u Linux kernel nije ispravno podesio memoriju na nulu u nekim situacijama. Lokalni napadač ovo možete koristiti za otkrivanje osjetljivih informacija (memorija kernela). Srednji prioritet.
- CVE-2019-11884: Otkriveno je da implementacija Bluetooth HIDP (Human Interface Device Protocol) u Linux kernelu nije ispravno provjerila NULL-terminirane linije u određenim situacijama. Lokalni napadač bi to mogao iskoristiti za otkrivanje osjetljivih informacija (memorija kernela). Srednji prioritet.
- CVE-2019-9503: Hugues Anguelkov je otkrio da je Broadcom Wifi drajver u jezgru nije ispravno spriječio obradu udaljenih događaja firmvera za USB WiFi uređaje. To bi mogao iskoristiti fizički blizak napadač ePošaljite događaje firmvera na uređaj. Srednji prioritet.
- CVE-2019-2054: Otkriveno je da Linux kernel na ARM procesorima omogućava proces praćenja da modificirate sistemski poziv nakon što se donese odluka o tome syscall. Lokalni napadač bi to mogao iskoristiti da zaobiđe seccomp ograničenja.
Nova verzija kernela za Xenial Xerus je linux-image 4.4.0-157.185. Kao i uvijek, Canonical preporučuje svim korisnicima Ubuntu 16.04.x sa Linux 4.4 da ažuriraju što je prije moguće.