ליקויי אבטחה בלינוקס הם בדרך כלל מעטים, אך התיקון שפורסם זה עתה על ידי Canonical מראה כי זה לא תמיד המקרה. החברה שמנהל מארק שאטלוורת ' פרסמה עדכון ליבה עבור אובונטו 16.04 LTS (Xenial Xerus) שמתקן עד חמישה באגים שהתגלו על ידי חוקרי אבטחה שונים בגרעין 4.4, גרעין הקיים במערכת ההפעלה ש- Canonical שחררה לפני 3 שנים, באפריל 2016. כל הגרסאות מבוססות אובונטו מושפעות גם מהשימוש אותו גרעין.
התיקון כבר קיים ב- Linux 4.15 HWE שכולל את Ubuntu 18.04 LTS, כך שפורסמים אחרים של מחזור החיים של 9 חודשים, כלומר גם LTS שאינם מושפעים. העניין הוא שקנוניקל הפכה את העדכון הזה לזמין רק למשתמשים שמערכת ההפעלה שלהם נפגעת והם עדיין נהנים מתמיכה רשמית. אובונטו 14.04 תיהנה מתמיכה עד 30 באפריל אך הגרעין שלה אינו מושפע מה- 5 תקלות מוזכר במאמר זה.
עדכון גרעין 16.04 של אובונטו מתקן 5 באגי אבטחה
חמשת הבאגים שתוקנו הם:
- El CVE-2017-18241- יישום מערכת הקבצים F2FS נכשל בטיפול שגוי באפשרות ההרכבה noflush_merge.
- CVE-2018-7740: קשור לשגיאה הקודמת, אך במקרה זה בעומסי יתר מרובים ביישום hugetlbfs. זה ואת הבאג הקודם יכול לאפשר למשתמש זדוני מקומי לנצל את הפגיעות באמצעות מניעת שירות.
- El CVE-2018-1120 התגלה במערכת הקבצים פרופסורים ואיפשר למשתמש זדוני מקומי לחסום כלים מסוימים המשמשים לבדיקת מערכת הקבצים פרופסורים לדווח על מצב מערכת ההפעלה מכיוון שהיא לא הצליחה לנהל נכון את תהליכי המיפוי באלמנטים הזיכרון.
- CVE-2019-6133 זה אפשר למשתמש זדוני מקומי לקבל גישה לשירותים שאחסנו הרשאות.
- CVE-2018-19985 זה יכול לאפשר לתוקף קרוב פיזית לגרום לקריסת מערכת.
קנוניקל ממליץ לכל המשתמשים שנפגעו לעדכן בהקדם האפשרי לגרסת גרעין 4.4 שכבר זמינה במאגרים הרשמיים. באופן אישי, בהתחשב בכך שתוקף מקומי צריך לנצל את כל הבאגים, כן, אעדכן בקרוב, אבל גם לא הייתי דואג יותר מדי. ואת?