Drošības trūkumu Linux parasti ir maz un tālu, taču Canonical tikko izlaistais plāksteris parāda, ka tas ne vienmēr notiek. Uzņēmums, kuru vada Marks Šuttvorts ir izlaidusi kodola atjauninājumu Ubuntu 16.04 LTS (Xenial Xerus), kas novērš līdz pat piecām kļūdām, kuras dažādi drošības pētnieki atklāja 4.4 kodolā - kodolā, kas atrodas operētājsistēmā, kuru Canonical izlaida pirms 3 gadiem, 2016. gada aprīlī. tas pats kodols.
Labojums jau atrodas Linux 4.15 HWE, kas ietver Ubuntu 18.04 LTS, tāpēc šķiet, ka tiek ietekmēti arī citi 9 mēnešu dzīves cikla izlaidumi, t.i., ne-LTS. Lieta ir tāda, ka Canonical ir padarījis šo atjauninājumu pieejamu tikai lietotājiem, kuru operētājsistēma ir apdraudēta un kuriem joprojām ir oficiāls atbalsts. Ubuntu 14.04 tiks atbalstīts līdz 30. Aprīlim, taču tā kodolu neietekmē 5 vainas minēts šajā rakstā.
Ubuntu 16.04 kodola atjauninājums novērš 5 drošības kļūdas
Piecas labotās kļūdas ir:
- El CVE-2017-18241- F2FS failu sistēmas ieviešana neizdevās nepareizi apstrādāt stiprināšanas opciju noflush_merge.
- CVE-2018-7740: saistīts ar iepriekšējo kļūdu, bet šajā gadījumā vairākās pārslodzēs ieviešanā hugetlbfs. Šī un iepriekšējā kļūda varētu ļaut vietējam ļaunprātīgam lietotājam izmantot ievainojamību, atsakot pakalpojumu.
- El CVE-2018-1120 tika atklāts failu sistēmā procfs un ļāva vietējam ļaunprātīgam lietotājam bloķēt noteiktus rīkus, kas izmantoti failu sistēmas pārbaudei procfs ziņot par operētājsistēmas statusu, jo tai neizdevās pareizi pārvaldīt kartēšanas procesus atmiņas elementos.
- CVE-2019-6133 tas ļāva vietējam ļaunprātīgam lietotājam piekļūt pakalpojumiem, kas glabāja autorizācijas.
- CVE-2018-19985 tas varētu ļaut fiziski tuvam uzbrucējam izraisīt sistēmas avāriju.
Kanonisks iesaka visiem skartajiem lietotājiem pēc iespējas ātrāk atjaunināt uz kodola versiju 4.4, kas jau ir pieejama oficiālajos krātuvēs. Personīgi, ņemot vērā to, ka visas kļūdas vajadzētu izmantot vietējam uzbrucējam, es drīz atjauninātu, taču arī es neuztraucos pārāk daudz. Un tu?