Sikkerhedsfejl i Linux er normalt få og langt imellem, men den patch, der netop er frigivet af Canonical, viser, at dette ikke altid er tilfældet. Det firma, som Mark Shuttleworth driver har udgivet en kerneopdatering til Ubuntu 16.04 LTS (Xenial Xerus), der løser op til fem bugs opdaget af forskellige sikkerhedsforskere i 4.4-kernen, en kerne, der er til stede i det operativsystem, som Canonical udgav for 3 år siden, i april 2016. Alle Ubuntu-baserede versioner er også berørt, der bruger den samme kerne.
Løsningen er allerede til stede i Linux 4.15 HWE, der inkluderer Ubuntu 18.04 LTS, så andre 9-måneders livscyklusudgivelser, dvs. ikke-LTS synes også at blive påvirket. Pointen er, at Canonical kun har gjort denne opdatering tilgængelig for brugere, hvis operativsystem er kompromitteret, og som stadig nyder officiel support. Ubuntu 14.04 vil nyde support indtil den 30. april, men dens kerne påvirkes ikke af 5 fejl nævnt i denne artikel.
Ubuntu 16.04 Kernel Update løser 5 sikkerhedsfejl
De fem fejl, der er rettet, er:
- El CVE-2017-18241- Implementering af F2FS-filsystem mislykkedes forkert ved håndtering af monteringsindstilling noflush_merge.
- CVE-2018-7740: relateret til den tidligere fejl, men i dette tilfælde i flere overbelastninger i implementeringen hugetlbfs. Denne og den tidligere fejl kunne give en lokal ondsindet bruger mulighed for at udnytte sårbarheden gennem denial of service.
- El CVE-2018-1120 blev opdaget i filsystemet proffs og tillod en lokal ondsindet bruger at blokere bestemte værktøjer, der blev brugt til at undersøge filsystemet proffs at rapportere status for operativsystemet, fordi det ikke lykkedes at styre kortlægningsprocesserne i hukommelseselementerne korrekt.
- CVE-2019-6133 det tillod en lokal ondsindet bruger at få adgang til tjenester, der lagrede autorisationer.
- CVE-2018-19985 det kan tillade en fysisk tæt angriber at forårsage et systemnedbrud.
Canonical anbefaler, at alle berørte brugere opdaterer hurtigst muligt til kerneversion 4.4, som allerede er tilgængelig i de officielle opbevaringssteder. Personligt, i betragtning af at alle bugs skal udnyttes af en lokal angriber, ja, jeg vil opdatere snart, men jeg ville heller ikke bekymre mig for meget. Og dig?