Canonical släpper många mindre Ubuntu-kärnuppdateringar för att åtgärda olika säkerhetsfel. Många av dessa buggar visas i icke-LTS-versioner av kärnan, och det är att Canonical släpper nyheter minst två gånger varje år, i april och oktober. Operativsystemet som det bygger på är mer robust, delvis för att det introducerar nya funktioner långsammare. Men det betyder inte att den är fri från brister och Debian lanserades igår nya kärnversioner för ditt operativsystem.
Debian 10 släpptes tidigare denna månad och du har redan fått din första kärnsäkerhetsuppdatering. Detta är ett fel som upptäcktes av Jann Horn från Google Project Zero, ett säkerhetsinitiativ från sökmotorföretaget som jag ärligt talat inte vet om det är mer känt för att hjälpa till att hitta säkerhetsfel eller för att publicera dem inför skaparna av sökmotor. programvara i fråga har rättat till felet. I vilket fall som helst har den fel som Horn upptäckt katalogiserats som hög svårighetsgrad.
Debian 10 får sin första kärnsäkerhetsuppdatering
Felet som den nya kärnversionen fixar är CVE-2018-13272 och beskriver ett säkerhetsproblem som «en lokal angripare kan använda den för att få superanvändaråtkomst (root) genom att dra nytta av vissa scenarier med ett föräldra-barn-processförhållande, där föräldern tappar behörigheter och anrop exekverar (möjliggör en angripares kontroll)«. Fel påverkar Buster, Stretch och Jessie.
De nya kärnversionerna är 19.37-5 + deb10u1 i «Buster», 4.9.168-1 + deb9u4 i "Stretch" och 3.16.70-1 + deb8u1 Jessie. Debian version 10 innehåller också ett plåster för en regression som introducerades i originalplåstret för sårbarhet CVE-2019-11478 vid implementeringen av TCP-sändningskön igen. Som vi kan förvänta oss av en kritisk svårighetsfel rekommenderar Debian-projektet att uppdatera så snart som möjligt.