Het belangrijkste nieuws dat we vandaag zullen publiceren, is zonder twijfel dat Canonical Ubuntu 19.10 Eoan Hermelijn heeft uitgebracht. Dat we de naam kennen van een systeem dat wordt over zes maanden gelanceerd of dat ze hebben gecorrigeerd verschillende kwetsbaarheden in de Ubuntu-kernel het zal op de achtergrond zijn. Maar we kunnen niet werkeloos blijven wachten, de blogosfeer mag niet stoppen, en dat laatste is wat er de afgelopen uren is gebeurd.
In totaal heeft de nieuwe kernelversie 9 kwetsbaarheden opgelost verzameld in het rapport USN-4157-1 Op het moment van schrijven is het enige getroffen besturingssysteem dat ze noemen Ubuntu 19.04, maar sommige van de bugs zijn gemarkeerd als "in behandeling" in Ubuntu 18.04 en Ubuntu 16.04. In alle negen gevallen wordt Ubuntu 19.10 vermeld als "onaangetast".
Eoan Hermelijnpit wordt niet aangetast
De fouten, aangeduid als lage of gemiddelde prioriteit, zijn als volgt:
- CVE-2019-14814, CVE-2019-14815 y CVE-2019-14816: het Marvell Wi-Fi-apparaatstuurprogramma in de Linux-kernel voerde de limietcontrole niet correct uit, waardoor een heap-overflow ontstond. Een lokale aanvaller zou dit kunnen gebruiken om een denial of service te veroorzaken (het systeem loopt vast) of om mogelijk willekeurige code uit te voeren.
- CVE-2019-14821: lDe implementatie van de KVM-hypervisor in de Linux-kernel voerde de grenscontrole niet correct uit bij het afhandelen van samengevoegde MMIO-schrijfbewerkingen. Een lokale aanvaller met schrijftoegang tot / dev / kvm kan dit gebruiken om een denial of service te veroorzaken (het systeem loopt vast).
- CVE-2019-15504- De Wi-Fi 91x-driver in de Linux-kernel behandelde de initialisatie-foutcondities niet goed, wat resulteerde in een dubbel vrije kwetsbaarheid. Een aanvaller die fysiek dichtbij is, kan dit gebruiken om een denial of service te veroorzaken (het systeem loopt vast).
- CVE-2019-15505: el Technisat DVB-S / S2 USB-apparaatstuurprogramma in Linux-kernel bevatte bufferoverbelasting. Een aanvaller die fysiek dichtbij is, kan dit gebruiken om een denial of service (systeemcrash) te veroorzaken of mogelijk gevoelige informatie bloot te leggen.
- CVE-2019-15902: ofSpectre-mitigatie is onjuist geïmplementeerd in het Linux-kernel ptrace-subsysteem. Een lokale aanvaller kan dit gebruiken om gevoelige informatie vrij te geven.
- CVE-2019-16714: lDe IPv6 RDS-implementatie in de Linux-kernel was niet correct bezig met het initialiseren van velden in een datastructuur die naar de gebruikersruimte was teruggestuurd. Een lokale aanvaller zou dit kunnen gebruiken om gevoelige informatie (kernelgeheugen) bloot te leggen. Houd er rekening mee dat het RDS-protocol standaard op de zwarte lijst staat in Ubuntu.
- CVE-2019-2181: Er was een integer-overflow in de Linux-kernelimplementatie van Binder, wat leidde tot een buffer-overflow. Een lokale aanvaller kan dit gebruiken om rechten te escaleren.
Update nu
Updates zijn al beschikbaar in de verschillende softwarecentra (of in de updates-app) van alle officiële Ubuntu-smaken. Na installatie moet u uw computer opnieuw opstarten om de wijzigingen door te voeren.