Linuxのセキュリティ上の欠陥は通常ほとんどありませんが、Canonicalによってリリースされたばかりのパッチは、これが常に当てはまるとは限らないことを示しています。 マークシャトルワースが経営する会社 Ubuntu 16.04LTSのカーネルアップデートをリリースしました (Xenial Xerus)は、さまざまなセキュリティ研究者によって発見された最大4.4つのバグを修正します。3カーネルは、Canonicalが2016年前にXNUMX年XNUMX月にリリースしたオペレーティングシステムに存在するカーネルです。Ubuntuベースのすべてのバージョンも影響を受けます。同じカーネル。
この修正は、Ubuntu 4.15LTSを含むLinux18.04 HWEにすでに存在するため、他の9か月のライフサイクルリリース、つまり非LTSも影響を受けるようです。 重要なのは、Canonicalがこのアップデートを利用できるのは、オペレーティングシステムが危険にさらされていて、まだ公式サポートを享受しているユーザーだけだということです。 Ubuntu 14.04は30月XNUMX日までサポートを享受しますが、そのカーネルは影響を受けません 5の障害 この記事で言及されています。
Ubuntu16.04カーネルアップデートで5つのセキュリティバグが修正されました
修正されたXNUMXつのバグは次のとおりです。
- El CVE-2017-18241-F2FSファイルシステムの実装がマウントオプションの誤った処理に失敗しました noflush_merge.
- CVE-2018-7740:前のエラーに関連していますが、この場合、実装で複数のオーバーロードが発生しています 巨大なlbfs。 このバグと以前のバグにより、ローカルの悪意のあるユーザーがサービス拒否を通じて脆弱性を悪用する可能性があります。
- El CVE-2018-1120 ファイルシステムで発見されました procfs ローカルの悪意のあるユーザーがファイルシステムの調査に使用される特定のツールをブロックできるようにしました procfs メモリ要素のマッピングプロセスを正しく管理できなかったため、オペレーティングシステムのステータスを報告します。
- CVE-2019-6133 これにより、ローカルの悪意のあるユーザーが、認証を保存したサービスにアクセスできるようになりました。
- CVE-2018-19985 物理的に近い攻撃者がシステムクラッシュを引き起こす可能性があります。
標準的な 影響を受けるすべてのユーザーができるだけ早く更新することをお勧めします 公式リポジトリですでに利用可能なカーネルバージョン4.4に。 個人的には、すべてのバグがローカルの攻撃者によって悪用される必要があることを考えると、はい、すぐに更新しますが、あまり心配する必要もありません。 あなたも?