Несколько часов назад мы опубликовали статью о том, что известно как Lockdown, новый модуль безопасности, который появится в Linux 5.4. Среди того, что будет делать этот модуль, мы должны помочь избежать выполнения произвольного кода. Пример, который лучше всего объясняет его важность, пришел сегодня, поскольку Canonical исправила несколько уязвимостей и некоторые из них могут быть использованы для выполнения произвольного кода, что станет более трудным после выпуска Linux 5.4.
В общей сложности они исправлены 6 уязвимостей собраны в трех отчетах: УСН-4142-1 что влияет на Ubuntu 19.04, Ubuntu 18.04 и Ubuntu 16.04, УСН-4142-2 который совпадает с предыдущим, но ориентирован на Ubuntu 14.04 и Ubuntu 12.04 (обе в версиях ESM) и USN-4143-1, который влияет на три версии, которые все еще пользуются официальной поддержкой. Все уязвимости имеют статус средней срочности.
Шесть уязвимостей, объясняющих, почему мы заботимся о Lockdown
Были исправлены следующие уязвимости:
- CVE-2019-5094: В функциональности файла квот E2fsprogs 1.45.3 существует уязвимость выполнения кода, в которой можно использовать уязвимость. Специально созданный раздел ext4 может вызвать чрезмерную запись в кучу, что приведет к выполнению кода. Злоумышленник Вы можете повредить раздел, чтобы активировать эту уязвимость.
- CVE-2017-2888: При создании нового Поверхность RGB в SDL 2.0.5. Специально созданный файл может вызывать целое число переполнение, в результате чего выделено слишком мало памяти, что может привести к Переполнение буфера и возможное выполнение кода. Злоумышленник может предоставить Файл изображения, специально созданный для активации этой уязвимости.
- CVE-2019-7635, CVE-2019-7636, CVE-2019-7637 y CVE-2019-7638: SDL (Simple DirectMedia Layer) до 1.2.15 и 2.x до 2.0.9 имеет lИзбыточная буферизация на основе Blit1to4 в видео / SDL_blit_1.c, SDL_GetRGB в видео / SDL_pixels.c, SDL_FillRect в видео / SDL_surface.c и Map1toN в видео / SDL_pixels.c.
Первое из вышеперечисленных также касается Ubuntu 19.10 Eoan Ermine, поэтому они скоро выпустят исправления для версии, которая будет выпущена 17 октября. После установки обновлений необходимо перезагрузить компьютер, чтобы изменения вступили в силу. И хотя это не серьезные неудачи, Lockdown, Мы подождем тебя.