Canonical frigiver mange mindre Ubuntu-kernelopdateringer for at løse forskellige sikkerhedsfejl. Mange af disse bugs vises i ikke-LTS-versioner af kernen, og det er, at Canonical frigiver nyheder mindst to gange hvert år, i april og oktober. Operativsystemet, som det er baseret på, er mere robust, dels fordi det introducerer nye funktioner langsommere. Men det betyder ikke, at det er fri for mangler og Debian lanceret i går nye kerneversioner til dit operativsystem.
Debian 10 blev udgivet tidligere på denne måned, og du har allerede modtaget din første kernesikkerhedsopdatering. Dette er en fejl opdaget af Jann Horn fra Google Project Zero, et sikkerhedsinitiativ fra søgemaskinfirmaet, som jeg ærligt talt ikke ved, om det er mere berømt for at hjælpe med at finde sikkerhedsfejl eller for at offentliggøre dem før skaberne af søgningen den aktuelle software har rettet fejlen. Under alle omstændigheder er den bug, der blev opdaget af Horn, blevet katalogiseret som høj sværhedsgrad.
Debian 10 modtager sin første kernesikkerhedsopdatering
Fejlen, som den nye kerneversion løser, er CVE-2018-13272 og beskriver et sikkerhedsproblem, der «en lokal angriber kunne bruge den til at få superbrugeradgang (root) ved at drage fordel af visse scenarier med et forældre-barn-procesforhold, hvor forælderen dropper privilegier og udfører opkald (muligvis tillader en angriber kontrol)«. Fiasko påvirker Buster, Stretch og Jessie.
De nye kerneversioner er 19.37-5 + deb10u1 i «Buster», 4.9.168-1 + deb9u4 i "Stretch" og 3.16.70-1 + deb8u1 Jessie. Debian version 10 inkluderer også et plaster til en regression introduceret i den oprindelige plaster for sårbarhed CVE-2019-11478 i implementeringen af TCP-retransmissionskøen. Som vi kan forvente med en kritisk sværhedsgrad, anbefaler Debian Project at opdatere så hurtigt som muligt.