कुछ दिनों पहले Canonical ने एक सुरक्षा पैच जारी किया जो सुरक्षा समस्याओं को ठीक करता है उबंटू 18.04 एलटीएस कर्नेल के साथ, जो उबंटू और उसके सभी डेरिवेटिव को प्रभावित करता है जैसे कि कुबंटू, लुबंटू, उबंटू गनोम, उबंटू बुग्गी, उबंटू काइलिन, और उबंटू स्टूडियो, साथ ही अन्य थर्ड-पार्टी सिस्टम जो उबंटू को आधार के रूप में उपयोग करते हैं।
इन कमजोरियों में बफर ओवरफ्लो और शामिल हैं ओवरफ्लो करने के लिए अतिप्रवाह , जहां एक हमलावर सेवा से वंचित करके मनमाना कोड या सिस्टम विफलता को निष्पादित करने के लिए बनाई गई EXT4 छवि का शोषण करता है।
इस अपडेट के बारे में
इस पैच में कुल 11 सुरक्षा मुद्दे कवर किए गए हैं जो इस कर्नेल अपडेट रिलीज़ में हल किए गए थे।
उन में से कौनसा हमारी 7 कमजोरियां शामिल हैं (CVE-2018-10876, CVE-2018-10877, CVE-2018-10878, CVE-2018-10879, CVE-2018-10880, CVE- 2018- 10882 और CVE-2018-10883)।
सात निश्चय की लिनक्स कर्नेल के ext4 फाइलसिस्टम अनुप्रयोग को देखें उन्हें सुरक्षा शोधकर्ता वेन जू द्वारा खोजा गया था।
शोधकर्ताओं ने कहा कि:
ये दोष उपयोगकर्ता को जारी किए जाने के बाद बढ़ाए जाते हैं और गाउट-ऑफ-लिमिट्स ओवरफ्लो मुद्दों को लिखते हैं।
कमजोरियां मनमाने ढंग से कोड निष्पादन की अनुमति दे सकती हैं या विशेष रूप से तैयार की गई ext4 छवि का शोषण करके सेवा हमलों से इनकार करने से भी प्रणाली को अवरुद्ध कर सकती हैं।
उस छवि को एक कमजोर सिस्टम पर रखा जा सकता है।
वर्चुअलाइजेशन के साथ समस्याएं जारी हैं
लिनक्स कर्नेल के लिए जारी यह पैच CVE-2018-14625 में वर्णित दौड़ की स्थिति को भी हल करता है vsock पते के VS कर्नेल कार्यान्वयन में पाया गया
जो एक उपयोग-बाद-मुक्त स्थिति के लिए नेतृत्व कर सकता है जो एक स्थानीय हमलावर को अतिथि वर्चुअल मशीन पर संवेदनशील जानकारी को उजागर करने के लिए आवश्यक सब कुछ करने की अनुमति देता है।
इस पैच के साथ हल की गई अन्य सुरक्षा समस्याएं हैं CVE-2018-16882 और CVE-2018-19407 KVIR (कर्नेल-आधारित वर्चुअल मशीन) के निष्पादन को प्रभावित करते हैं, जिसे CFIR कोहेन और वेई वू द्वारा खोजा गया है।
ये दोनों मुद्दे कर्नेल-आधारित वर्चुअल मशीन कार्यान्वयन को प्रभावित करते हैं, जिसे अतिथि वर्चुअल मशीन पर किया जा सकता है।
स्थानीय हमलावर मेजबान पर प्रशासनिक अधिकार प्राप्त करता है या सिस्टम को क्रैश करने का कारण बनता है।
इसके अलावा सुरक्षा अद्यतन Google प्रोजेक्ट ज़ीरो (CVE-2018-17972 और CVE-2018-18281) में दो कमजोरियों को ठीक करता है, जो कि फॉक्स फाइल सिस्टम के लिनक्स कर्नेल कार्यान्वयन में है। और मरमप () सिस्टम कॉल, जो स्थानीय हमलावरों को संवेदनशील सिस्टम जानकारी को उजागर करने या मनमाने दुर्भावनापूर्ण कोड को निष्पादित करने का कारण बन सकता है।
Ca
सुरक्षा अद्यतन के बारे में पता चलता है Linux के कर्नेल कार्यान्वयन में दो कमजोरियाँ हैं फ़ाइल सिस्टम और मरमप () सिस्टम कॉल Google प्रोजेक्ट ज़ीरो के जेन हॉर्न द्वारा खोजा गया, जो स्थानीय हमलावरों को संवेदनशील जानकारी को उजागर करने या मनमाने कोड को निष्पादित करने की अनुमति दे सकता है।
सुरक्षा अद्यतन भी Linux कर्नेल HID डीबग सबसिस्टम इंटरफ़ेस में खोजे गए CVE-2018-9516 समस्या को ठीक करता है।
यह इंटरफ़ेस कुछ शर्तों के तहत सीमा जाँच के गलत प्रदर्शन का पता लगाने के लिए ज़िम्मेदार है, जिससे हमलावर को अतिरिक्त विशेषाधिकार या सेवा से वंचित करने के लिए डिबगफ़ुट उपयोगिता तक पहुंच की अनुमति मिलती है।
हां या हां अपडेट करने का समय आ गया है
किसी भी जारी समाधान की तरह, हमारे सिस्टम में इसे लागू करना महत्वपूर्ण है, इसलिए सिस्टम को सच्चाई को अपडेट करने के लिए अत्यधिक अनुशंसा की जाती है।
जैसे Canonical सभी Ubuntu 18.04 LTS उपयोगकर्ताओं को आमंत्रित करता है (बायोनिक बीवर) लिनक्स कर्नेल 4.15.0-44.47 को तुरंत अपने इंस्टॉलेशन को अपडेट करने के लिए।
जबकि उबंटू 18.04.1 LTS या बाद में लिनक्स 4.18 कर्नेल श्रृंखला का उपयोग करने वाले उपयोगकर्ताओं को संस्करण 4.18.0-14.15 ~ 18.04.1 पर अपग्रेड करना चाहिए।
कैसे अपडेट करें?
सिस्टम को अपडेट करने के लिए, बस एक टर्मिनल खोलें और उसमें निम्न कमांड निष्पादित करें:
sudo apt update sudo apt full-upgrade
अपडेट के डाउनलोड और स्थापना के अंत में, यह अनुशंसा की जाती है कि कंप्यूटर को फिर से शुरू किया जाए, जिसके साथ सिस्टम के शुरू होने पर सभी नए बदलाव लागू होंगे।