Canonical brengt veel kleine Ubuntu-kernelupdates uit om verschillende beveiligingsfouten te verhelpen. Veel van deze bugs verschijnen in niet-LTS-versies van de kernel, en dat is dat Canonical minstens twee keer per jaar nieuws uitbrengt, in april en oktober. Het besturingssysteem waarop het is gebaseerd, is robuuster, deels omdat het langzamer nieuwe functies introduceert. Maar dat betekent niet dat het vrij is van gebreken en Debian gisteren gelanceerd nieuwe kernelversies voor uw besturingssysteem.
Debian 10 werd vrijgegeven eerder deze maand en je hebt al je eerste kernelbeveiligingsupdate ontvangen. Dit is een bug die is ontdekt door Jann Horn van Google Project Zero, een beveiligingsinitiatief van het zoekmachinebedrijf dat, eerlijk gezegd, ik weet niet of het meer bekend staat om het helpen vinden van beveiligingsfouten of omdat het ze publiceerde voor de makers van de zoekmachine software in kwestie hebben de bug gecorrigeerd. Het door Horn ontdekte gebrek is in ieder geval gecatalogiseerd als hoge ernst.
Debian 10 ontvangt zijn eerste kernelbeveiligingsupdate
De bug die de nieuwe kernelversie oplost, is de CVE-2018-13272 en beschrijft een beveiligingsprobleem dat «een lokale aanvaller zou het kunnen gebruiken om supergebruiker (root) toegang te krijgen door te profiteren van bepaalde scenario's met een ouder-kind procesrelatie, waarbij de ouder privileges laat vallen en execve aanroept (waardoor een aanvaller mogelijk controle krijgt) Mislukking beïnvloedt Buster, Stretch en Jessie.
De nieuwe kernelversies zijn 19.37-5 + deb10u1 in «Buster», 4.9.168-1 + deb9u4 in "Stretch" en 3.16.70-1 + deb8u1 Jessie. Debian versie 10 bevat ook een patch voor een regressie die in de originele patch is geïntroduceerd op kwetsbaarheid CVE-2019-11478 bij de implementatie van de wachtrij voor het opnieuw verzenden van TCP. Zoals we kunnen verwachten bij een kritieke ernst van een bug, raadt het Debian Project aan om zo snel mogelijk bij te werken.