El martes pasado, Canonical lanzó nuevas versiones del kernel para Ubuntu 19.04 y Ubuntu 18.04. Aunque parte de lo lanzado para Bionic Beaver también se portó a Xenial Xerus, la versión de Ubuntu lanzada en abril de 2016 no había recibido una versión específica, hasta hoy: la compañía que dirige Mark Shuttleworth ha lanzado también una actualización del kernel para Ubuntu 16.04 para corregir un total de seis fallos, uno de ellos de 2018 y ninguno demasiado grave.
A diferencia de las versiones lanzadas el pasado día 23, lo lanzado ayer solo está disponible para usuarios de Ubuntu 16.04, más concretamente aquellos que aún estén usando el kernel Linux 4.4. Los usuarios que hayan actualizado a una versión posterior de Ubuntu o de su núcleo no están afectados. A continuación detallamos qué ha corregido la nueva versión.
Qué corrige el kernel linux-image 4.4.0-157.185
- CVE-2018-20836: Se descubrió que existía una condición de carrera en la implementación del Serial Attached SCSI (SAS) en el kernel de Linux. Un atacante local podría usar esto para causar denegación del servicio (caída del sistema) o ejecutar código arbitrario. Prioridad: baja.
- CVE-2019-10142: Se descubrió que existía un desbordamiento de enteros en el administrador del hipervisor Freescale (PowerPC) en el kernel de Linux. Un atacante local con acceso de escritura a /dev/fsl-hv podría usar esto para provocar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario. Prioridad: muy baja, despreciable.
- CVE-2019-11833: Se descubrió que la implementación del sistema de archivos ext4 en el kernel de Linux no ajustó correctamente la memoria a cero en algunas situaciones. Un atacante local podría usar esto para exponer información confidencial (memoria del kernel). Prioridad: media.
- CVE-2019-11884: Se descubrió que la implementación del protocolo Bluetooth HIDP (Human Interface Device Protocol) en el kernel de Linux no verificaba correctamente las líneas donde NULL finalizaba en ciertas situaciones. Un atacante local podría usar esto para exponer información sensible (memoria del kernel). Prioridad: media.
- CVE-2019-9503: Hugues Anguelkov descubrió que el controlador de Wifi Broadcom en en núcleo no impidió correctamente que se procesaran los eventos de firmware remotos para dispositivos WiFi por USB. Un atacante físicamente próximo podría usar esto para enviar eventos de firmware al dispositivo. Prioridad: media.
- CVE-2019-2054: Se descubrió que el kernel de Linux en los procesadores ARM permitía un proceso de rastreo para modificar un syscall después de que se haya tomado una decisión seccomp sobre ese syscall. Un atacante local podría usar esto para eludir las restricciones de seccomp.
La nueva versión del núcleo para Xenial Xerus es linux-image 4.4.0-157.185. Como siempre, Canonical recomida a todos los usuarios de Ubuntu 16.04.x con Linux 4.4 que actualice tan pronto en cuanto les sea posible.