Néhány órával ezelőtt publikáltunk egy cikket, amely az úgynevezettről beszélt Lezárás, egy új biztonsági modul, amely a Linux 5.4-gyel érkezik. A modul feladatai között segítenünk kell az önkényes kód futtatásának elkerülését. Azóta az a példa érkezik, amely a legjobban megmagyarázza annak fontosságát A Canonical számos sebezhetőséget javított és közülük néhány tetszőleges kód futtatására használható, ami nehezebb lesz a Linux 5.4 kiadása után.
Összességében kijavították őket 6 sebezhetőség három jelentésben gyűjtötték össze: a USN-4142-1 amely az Ubuntu 19.04-et, az Ubuntu 18.04-et és az Ubuntu 16.04-et érinti, az USN-4142-2 amely megegyezik az előzővel, de az Ubuntu 14.04-re és az Ubuntu 12.04-re (ESM verziókban egyaránt) és az USN-4143-1-re összpontosít, amely hatással van a három verzióra, amelyek még mindig élvezik a hivatalos támogatást. Minden sebezhetőséget közepes sürgősségnek neveztek el.
Hat sebezhetőség, amelyek megmagyarázzák, miért érdekel minket a Lockdown
A kijavított biztonsági rések a következők voltak:
- CVE-2019 5094-: Kihasználható kódfuttatási biztonsági rés található az E2fsprogs 1.45.3 kvótafájl funkcióiban. Egy speciálisan kialakított ext4 partíció korlátokon kívüli írást okozhat a kupacban, ami kódfuttatást eredményez. Egy támadó A biztonsági rés aktiválásához megsérthet egy partíciót.
- CVE-2017 2888-: Kihasználható egész szám túlcsordulás biztonsági rése létezik egy új létrehozásakor RGB felület SDL 2.0.5-ben. Egy speciálisan kialakított fájl egész számot okozhat túlcsordulás, ami túl kevés memóriát oszt ki, ami a Puffertúlcsordulás és a lehetséges kódfuttatás. A támadó a A biztonsági rés kiváltására tervezett képfájl.
- CVE-2019 7635-, CVE-2019 7636-, CVE-2019 7637- y CVE-2019 7638-: Az SDL (Simple DirectMedia Layer) 1.2.15-ig, a 2.x pedig 2.0.9-ig rendelkezik a lBlit1to4 alapú túlpufferelés a videóban / SDL_blit_1.c, SDL_GetRGB a videóban / SDL_pixels.c, SDL_FillRect a videóban / SDL_surface.c és a Map1toN a videóban / SDL_pixels.c.
A fentiek közül az első az Ubuntu 19.10 Eoan Ermine-t is érinti, így hamarosan megjelennek a javítások az október 17-én megjelenő verzióhoz. A frissítések telepítése után a változtatások életbe lépéséhez újra kell indítania a számítógépet. És bár nem súlyos kudarcok, Lezárás, Várni fogunk rád.