Canonical lanserer mange mindre Ubuntu-kjerneoppdateringer for å løse forskjellige sikkerhetsfeil. Mange av disse feilene vises i ikke-LTS-versjoner av kjernen, og det er at Canonical slipper nyheter minst to ganger hvert år, i april og oktober. Operativsystemet det er basert på er mer robust, delvis fordi det introduserer nye funksjoner saktere. Men det betyr ikke at den er fri for feil og Debian lansert i går nye kjerneversjoner for operativsystemet ditt.
Debian 10 ble utgitt tidligere denne måneden, og du har allerede mottatt den første kjernesikkerhetsoppdateringen. Dette er en feil oppdaget av Jann Horn fra Google Project Zero, et sikkerhetsinitiativ fra søkemotorselskapet som jeg ærlig talt ikke vet om det er mer kjent for å hjelpe til med å finne sikkerhetsfeil eller for å publisere dem før skaperne av den aktuelle programvaren har korrigert feilen. I alle fall er feilen som Horn har oppdaget, blitt katalogisert som høy alvorlighetsgrad.
Debian 10 mottar sin første kjernesikkerhetsoppdatering
Feilen som den nye kjerneversjonen løser er CVE-2018-13272 og beskriver et sikkerhetsproblem som «en lokal angriper kan bruke den til å få superbruker (root) tilgang ved å dra nytte av visse scenarier med et foreldre-barn-prosessforhold, der foreldrene slipper rettigheter og anrop utfører (potensielt tillater en angriper kontroll)«. Feil påvirker Buster, Stretch og Jessie.
De nye kjerneversjonene er 19.37-5 + deb10u1 i «Buster», 4.9.168-1 + deb9u4 i "Stretch" og 3.16.70-1 + deb8u1 Jessie. Debian versjon 10 inkluderer også en lapp for en regresjon introdusert i den originale lappen for sårbarhet CVE-2019-11478 i implementeringen av TCP-retransmissjonskøen. Som vi kan forvente på en kritisk alvorlighetsfeil, anbefaler Debian Project å oppdatere så snart som mulig.