Canonical rilascia molti aggiornamenti minori del kernel di Ubuntu per correggere vari difetti di sicurezza. Molti di questi bug compaiono nelle versioni non LTS del kernel, ed è che Canonical rilascia notizie almeno due volte all'anno, ad aprile e ottobre. Il sistema operativo su cui si basa è più robusto, in parte perché introduce nuove funzionalità più lentamente. Ma questo non significa che sia impeccabile e Debian lanciato ieri nuove versioni del kernel per il tuo sistema operativo.
Debian 10 è stato rilasciato all'inizio di questo mese e hai già ricevuto il tuo primo aggiornamento di sicurezza del kernel. Si tratta di un bug scoperto da Jann Horn di Google Project Zero, un'iniziativa di sicurezza dell'azienda di motori di ricerca che, sinceramente, non so se sia più famosa per aver aiutato a trovare falle di sicurezza o per averle pubblicate prima dei creatori di software in questione hanno corretto il bug. In ogni caso, il difetto scoperto da Horn è stato catalogato come severità elevata.
Debian 10 riceve il suo primo aggiornamento di sicurezza del kernel
Il bug che la nuova versione del kernel corregge è il CVE-2018-13272 e descrive un problema di sicurezza che «un utente malintenzionato locale potrebbe utilizzarlo per ottenere l'accesso super utente (root) sfruttando determinati scenari con una relazione di processo genitore-figlio, in cui il genitore perde i privilegi e chiama execve (potenzialmente consentendo il controllo di un attaccante)«. Fallimento colpisce Buster, Stretch e Jessie.
Le nuove versioni del kernel sono 19.37-5 + deb10u1 in «Buster», 4.9.168-1 + deb9u4 in "Stretch" e 3.16.70-1 + deb8u1 Jessie. Debian versione 10 include anche una patch per una regressione introdotta nella patch originale per vulnerabilità CVE-2019-11478 nell'implementazione della coda di ritrasmissione TCP. Come ci si può aspettare da un bug di gravità critica, il Progetto Debian consiglia l'aggiornamento il prima possibile.