Canonical julkaisee useita pieniä Ubuntun ytimen päivityksiä erilaisten tietoturva-aukkojen korjaamiseksi. Monet näistä virheistä esiintyvät ytimen muissa kuin LTS-versioissa, ja Canonical julkaisee uutisia vähintään kahdesti vuodessa, huhtikuussa ja lokakuussa. Käyttöjärjestelmä, johon se perustuu, on vankempi osittain siksi, että se tuo uusia ominaisuuksia hitaammin. Mutta se ei tarkoita, että siinä ei ole virheitä ja Debian käynnistettiin eilen uudet ytimen versiot käyttöjärjestelmääsi varten.
Debian 10 julkaistiin aiemmin tässä kuussa ja olet jo saanut ensimmäisen ytimen tietoturvapäivityksen. Tämä on vika, jonka löysi Jann Horn Google Project Zerosta, hakukoneyrityksen tietoturva-aloitteesta. Rehellisesti sanottuna en tiedä onko se tunnetumpi siitä, että se on auttanut turva-aukkojen löytämisessä tai julkaisemisesta ennen julkaisun luojia kyseinen ohjelmisto on korjannut virheen. Joka tapauksessa Hornin havaitsema virhe on luetteloitu nimellä erittäin vakava.
Debian 10 vastaanottaa ensimmäisen ytimen tietoturvapäivityksen
Virhe, jonka uusi ytimen versio korjaa, on CVE-2018-13272 ja kuvaa turvallisuusongelman, joka «paikallinen hyökkääjä voi käyttää pääkäyttäjän (pääkäyttäjän) saamiseksi hyödyntämällä tiettyjä skenaarioita vanhemman ja lapsen välisellä prosessisuhteella, jossa vanhempi pudottaa käyttöoikeudet ja kutsujen suorittamisen (mahdollistaen hyökkääjän hallinnan)«. Epäonnistuminen vaikuttaa Busteriin, Stretchiin ja Jessieen.
Uudet ytimen versiot ovat 19.37-5 + deb10u1 julkaisussa «Buster», 4.9.168-1 + deb9u4 kohdissa "Stretch" ja 3.16.70-1 + deb8u1 Jessie. Debian-versio 10 sisältää myös korjaustiedoston, joka on otettu käyttöön alkuperäisessä korjaustiedostossa haavoittuvuudesta CVE-2019-11478 TCP-uudelleenlähetysjonon toteuttamisessa. Kuten voimme odottaa kriittisen vakavuuden virheestä, Debian-projekti suosittelee päivittämistä mahdollisimman pian.