Sikkerhetsfeil i Linux er ofte få og langt mellom, men oppdateringen nettopp utgitt av Canonical viser at dette ikke alltid er tilfelle. Firmaet som Mark Shuttleworth driver har gitt ut en kjerneoppdatering for Ubuntu 16.04 LTS (Xenial Xerus) som fikser opptil fem feil oppdaget av forskjellige sikkerhetsforskere i 4.4-kjernen, en kjerne som er tilstede i operativsystemet som Canonical ga ut for 3 år siden, i april 2016. Alle Ubuntu-baserte versjoner er også berørt som bruker den samme kjernen.
Løsningen er allerede til stede i Linux 4.15 HWE som inkluderer Ubuntu 18.04 LTS, så andre 9-måneders livssyklusutgivelser, dvs. ikke-LTS ser ut til å bli påvirket også. Poenget er at Canonical bare har gjort denne oppdateringen tilgjengelig for brukere med operativsystem som er kompromittert og som fremdeles nyter offisiell støtte. Ubuntu 14.04 vil ha støtte til 30. april, men kjernen er ikke påvirket av 5 feil nevnt i denne artikkelen.
Ubuntu 16.04 Kernel Update løser 5 sikkerhetsfeil
De fem feilene som er løst er:
- El CVE-2017-18241- Implementering av F2FS-filsystem mislyktes feilaktig ved håndtering av monteringsalternativ noflush_merge.
- CVE-2018-7740: relatert til forrige feil, men i dette tilfellet i flere overbelastninger i implementeringen hugetlbfs. Denne og den forrige feilen kan tillate en lokal ondsinnet bruker å utnytte sårbarheten gjennom denial of service.
- El CVE-2018-1120 ble oppdaget i filsystemet Proffs og tillot en lokal ondsinnet bruker å blokkere visse verktøy som brukes til å undersøke filsystemet Proffs å rapportere statusen til operativsystemet fordi det ikke klarte å administrere kartleggingsprosessene i minneelementene korrekt.
- CVE-2019-6133 det tillot en lokal ondsinnet bruker å få tilgang til tjenester som lagret autorisasjoner.
- CVE-2018-19985 det kan tillate en fysisk nær angriper å forårsake et systemkrasj.
Canonical anbefaler alle berørte brukere å oppdatere så snart som mulig til kjerneversjonen 4.4 som allerede er tilgjengelig i de offisielle depotene. Personlig, med tanke på at alle feil skal utnyttes av en lokal angriper, vil jeg oppdatere snart, men jeg vil heller ikke bekymre meg for mye. Og du?