Nyt Ubuntu kernel opdatering, og dette er den gode ting ved at bruge en Linux-distribution med et større firma bag sig, såsom Canonical. Opdaterede kerneversioner er frigivet til alle understøttede Ubuntu-versioner, der matcher Ubuntu 19.04 Disco Dingo, Ubuntu 18.04 Bionic Beaver og Ubuntu 16.04 Xenial Xerus. Det er et perfekt tidspunkt at huske, hvor vigtigt det var / er at opgradere fra Ubuntu 18.10 til Ubuntu 19.04, da det er den første sikkerhedsopdatering, som Cosmic Cuttlefish ikke har modtaget siden sin ankomst i slutningen af sin livscyklus.
Alvorligheden af de opdagede problemer er blevet mærket som medium haster, og de, der er opdaget i Disco Dingo, adskiller sig fra dem, der blev påvist i Bionic Beaver og Xenial Xerus. Faktisk læser vi i opdateringen til Ubuntu 16.04 «Denne opdatering indeholder de tilsvarende opdateringer til Ubuntu 18.04 Linus Hardware Enablement (HWE) til Ubuntu 16.04 LTS«. Nedenfor forklarer vi flere detaljer om bugs opdaget og repareret.
Disco Dingo-kerneopdatering løser 4 sikkerhedsfejl
Den nye kerneversion til Ubuntu 19.04 er lanceret i dag og løse:
- CVE-2019-11487: det blev opdaget at der eksisterede et heltalsoverløb i Linux-kernen, når der henvises til sider, hvilket fører til potentielle problemer med brugervenlighed, efter at den blev frigivet. En lokal angriber kunne bruge dette til at forårsage en lammelsesangreb (uventet nedlukning) eller muligvis udføre vilkårlig kode.
- CVE-2019-11599: Jann Horn opdagede, at der var en race-tilstand i Linux-kernen, når han udførte hukommelsesdumps. En lokal angriber kan bruge dette til at forårsage en lammelsesangreb (systemnedbrud) eller udsætte følsomme oplysninger.
- CVE-2019-11833: Implementeringen af ext4-filsystemet i Linux-kernen viste sig ikke at lukke hukommelsen korrekt i nogle situationer. En lokal angriber kunne bruge dette til at eksponere følsomme oplysninger (kernehukommelse).
- CVE-2019-11884: Fundet, at implementeringen af Bluetooth Human Interface Device Protocol (HIDP) i Linux-kernen ikke korrekt bekræftede, at strenge NULL blev afsluttet i visse situationer. En lokal angriber kunne bruge dette til at udsætte følsomme oplysninger (kernel hukommelse).
4 andre fejl rettet i Ubuntu 18.04 / 16.04
Opdateringer til Ubuntu 18.04 y Ubuntu 16.04 De er også frigivet i dag og retter ud over fejlene CVE-2019-11833 og CVE-2019-11884, der er forklaret ovenfor, følgende:
- CVE-2019-11085: Adam Zabrocki fandt ud af, at grafikdriveren til Intel i915-kernetilstand i Linux-kernen ikke begrænsede mmap () -intervaller korrekt i nogle situationer. En lokal angriber kan bruge dette til at forårsage en lammelsesangreb (uventet nedlukning) eller muligvis udføre vilkårlig kode.
- CVE-2019-11815: Det blev opdaget, at der ved implementeringen af protokollen Reliable Datagram Sockets (RDS) i Linux-kernen var en race-tilstand, der førte til brug efter frigivelse. RDS-protokollen er sortlistet som standard i Ubuntu. Hvis aktiveret, kan en lokal angriber bruge dette til at forårsage en lammelsesangreb (uventet nedlukning) eller muligvis udføre vilkårlig kode.
For øjeblikket det er ukendt, om disse fejl også findes i Linux version 5.2 at inkluderer allerede Ubuntu 19.10 Eoan Ermine, men Canonical har ikke opdateret deres kerne, hvilket enten kan betyde, at de ikke har travlt, da dette er en udviklingsudgivelse, eller at de ikke er påvirket af nyligt opdagede fejl.
Opdatere nu
Canonical anbefaler at opdatere alle brugere af Ubuntu 19.04, Ubuntu 18.04 og Ubuntu 16.04 så hurtigt som muligt, da niveauet for "medium" haster betyder, at bugs ikke er svære at udnytte. Personligt vil jeg sige, at dette er en anden sag, hvor jeg ikke ville bekymre mig for meget, da fejlene skal udnyttes med fysisk adgang til enhederne, men i betragtning af at for at opdatere behøver vi kun at starte opdateringsværktøjet og anvende dem, jeg vil anbefale at gøre det når som helst. For at beskyttelsen kan træde i kraft, skal computeren genstartes efter installation af de nye kerneversioner.
