לפני כמה שעות פרסמנו מאמר המדבר על מה שמכונה נעילה, מודול אבטחה חדש שיגיע עם לינוקס 5.4. בין מה שיעשה מודול זה עלינו לעזור להימנע מביצוע קוד שרירותי. הדוגמה המסבירה בצורה הטובה ביותר את חשיבותה הגיעה היום, מאז Canonical תיקן מספר נקודות תורפה ובחלקם ניתן היה לבצע קוד שרירותי, דבר שיהיה קשה יותר לאחר שחרורו של לינוקס 5.4.
בסך הכל הם תוקנו 6 נקודות תורפה נאסף בשלושה דוחות: USN-4142-1 המשפיע על אובונטו 19.04, אובונטו 18.04 ואובונטו 16.04, ה- USN-4142-2 זהה לקודם אך התמקד באובונטו 14.04 ואובונטו 12.04 (שתיהן בגרסאות ESM) ו- USN-4143-1, מה שמשפיע על שלוש הגרסאות שעדיין נהנות מתמיכה רשמית. כל הפגיעות סומנו בדחיפות בינונית.
שש נקודות תורפה המסבירות מדוע אכפת לנו מנעילה
הפגיעות שתוקנו היו כדלקמן:
- CVE-2019-5094: פגיעות של ביצוע קוד לניצול קיימת בפונקציונליות קובץ המכסה E2fsprogs 1.45.3. מחיצת ext4 שעוצבה במיוחד עלולה לגרום לכתיבה מחוץ לתחום לערימה, וכתוצאה מכך ביצוע קוד. תוקף אתה יכול לפגוע במחיצה כדי להפעיל את הפגיעות הזו.
- CVE-2017-2888: פגיעות של הצפת מספרים שלמים ניתנת לניצול בעת יצירת חדש משטח RGB ב- SDL 2.0.5. קובץ בעל מבנה מיוחד יכול לגרום למספר שלם הצפה וכתוצאה מכך מוקצה זיכרון מועט מדי שיכול להוביל ל- הצפת מאגר וביצוע קוד פוטנציאלי. תוקף יכול לספק א קובץ תמונה שתוכנן במיוחד להפעלת פגיעות זו.
- CVE-2019-7635, CVE-2019-7636, CVE-2019-7637 y CVE-2019-7638: SDL (Simple DirectMedia Layer) עד 1.2.15 ו- 2.x עד 2.0.9 כולל lחציצה מבוססת יתר של Blit1to4 בווידאו / SDL_blit_1.c, SDL_GetRGB בווידאו / SDL_pixels.c, SDL_FillRect בווידאו / SDL_surface.c ומפה 1toN בווידאו / SDL_pixels.c.
הראשון מהאמור לעיל משפיע גם על אובונטו 19.10 Eoan Ermine, כך שהם ישחררו בקרוב את התיקונים עבור הגרסה שתשתחרר ב -17 באוקטובר. לאחר התקנת העדכונים, עליך להפעיל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף. ולמרות שהם אינם כישלונות חמורים, נעילה, אנחנו נחכה לך.