Linux-ytimen on kehittänyt Linux Torvalds, mutta huolehtii sitten siitä, että se pidetään osana tiimiään. Näin ei ole Ubuntu-kaltaisissa jakeluissa, koska Canonical on vastuussa käyttöjärjestelmän ytimen ylläpidosta, tietoturva- ja ylläpitopäivitysten julkaisemisesta ajoittain, viime kerta tämän kuukauden 17. päivänä. He tekivät sen uudelleen muutama tunti sitten laukaisemalla uudet ydinversiot kahdelle viimeiselle Ubuntun versiolle.
Todennäköisesti, jos ei erittäin tärkeä haavoittuvuus En olisi kirjoittanut tätä artikkelia epäonnistumisesta. Mutta vika, jonka raportti kerää USN-4313-1, vain yksi, kyllä, se on merkitty tällä tavalla, joten olen vihdoin päättänyt jakaa sen kaikille teille. Haavoittuvuus on CVE-2020-8835 ja aluksi se vaikuttaa Ubuntu 19.10 Eoan Ermineen ja Ubuntu 18.04 LTS Bionic Beaveriin. Muistamme tässä, että Ubuntu 19.04 Disco Dingo ei enää nauti tuesta.
Päivitetty ydin korjaamaan virheen Eoan Ermine ja Bionic Beaver
Haavoittuvuuden nimessä tai kuvauksessa mainitaan "eBPF-virheellinen sisääntulon vahvistus [ZDI-CAN-10780]" ja selitetään yksityiskohdissa, että:
Manfred Paul havaitsi, että Linux-ytimen bpf-tarkistaja ei laskenut lokirajat tietyille toiminnoille oikein. Un paikallinen hyökkääjä voisi käyttää tätä paljastamaan arkaluontoisia tietoja (ytimen muisti) tai hanki järjestelmänvalvojan oikeudet.
Määritetty vakavuus riippuu sekä virheen hyödyntämisen helppoudesta että sen aiheuttamista vahingoista. Hyvä uutinen on, että haavoittuvuuden hyödyntämiseksi tarvitset fyysisen pääsyn tietokoneelle, mikä tarkoittaa toisin sanoen myös sitä kukaan ei voi tehdä mitään etänä. Lisäksi ja kuten tavallista, Canonical on julkaissut tiedot julkaistuaan uudet paketit, jotka jo odottavat meitä päivityksenä. Jotta muutokset astuvat voimaan ja olemme täysin suojattuja, tietokone on käynnistettävä uudelleen.