ไม่กี่ชั่วโมงที่ผ่านมาเราได้เผยแพร่บทความที่พูดถึงสิ่งที่เรียกว่า ออกโรงโมดูลความปลอดภัยใหม่ที่จะมาพร้อมกับ Linux 5.4 เรามีโมดูลนี้เพื่อช่วยหลีกเลี่ยงการใช้รหัสตามอำเภอใจ ตัวอย่างที่อธิบายความสำคัญได้ดีที่สุดมาถึงวันนี้ตั้งแต่นั้นเป็นต้นมา Canonical ได้แก้ไขช่องโหว่หลายประการ และบางส่วนสามารถใช้ในการรันโค้ดโดยพลการสิ่งที่จะยากขึ้นหลังจากการเปิดตัว Linux 5.4
โดยรวมแล้วพวกเขาได้รับการแก้ไข ช่องโหว่ 6 ช่อง รวบรวมในรายงานสามฉบับ: ไฟล์ ยูเอส -4142-1 ซึ่งมีผลต่อ Ubuntu 19.04, Ubuntu 18.04 และ Ubuntu 16.04, ไฟล์ ยูเอส -4142-2 ซึ่งเหมือนกับรุ่นก่อนหน้า แต่เน้นไปที่ Ubuntu 14.04 และ Ubuntu 12.04 (ทั้งในเวอร์ชัน ESM) และ USN-4143-1 ซึ่งมีผลต่อทั้งสามเวอร์ชันที่ยังคงได้รับการสนับสนุนอย่างเป็นทางการ ช่องโหว่ทั้งหมดถูกระบุว่ามีความเร่งด่วนปานกลาง
ช่องโหว่หกช่องที่อธิบายว่าทำไมเราถึงสนใจ Lockdown
ช่องโหว่ที่ได้รับการแก้ไขมีดังต่อไปนี้:
- CVE-2019-5094: ช่องโหว่ในการเรียกใช้โค้ดที่ใช้ประโยชน์ได้มีอยู่ในฟังก์ชันการทำงานของไฟล์โควต้า E2fsprogs 1.45.3 พาร์ติชัน ext4 ที่สร้างขึ้นเป็นพิเศษสามารถทำให้เกิดการเขียนเกินขีด จำกัด ไปยังฮีปส่งผลให้มีการเรียกใช้โค้ด ผู้โจมตี คุณสามารถสร้างความเสียหายให้กับพาร์ติชันเพื่อเปิดใช้งานช่องโหว่นี้
- CVE-2017-2888: มีช่องโหว่จำนวนเต็มล้นที่ใช้ประโยชน์ได้เมื่อสร้างไฟล์ พื้นผิว RGB ใน SDL 2.0.5 ไฟล์ที่สร้างขึ้นเป็นพิเศษอาจทำให้เกิดจำนวนเต็ม ล้นทำให้หน่วยความจำจัดสรรน้อยเกินไปซึ่งอาจนำไปสู่ไฟล์ บัฟเฟอร์ล้นและการเรียกใช้โค้ดที่เป็นไปได้ ผู้โจมตีสามารถให้ไฟล์ ไฟล์ภาพที่ออกแบบมาเป็นพิเศษเพื่อเปิดช่องโหว่นี้
- CVE-2019-7635, CVE-2019-7636, CVE-2019-7637 y CVE-2019-7638: SDL (Simple DirectMedia Layer) สูงถึง 1.2.15 และ 2.x สูงสุด 2.0.9 มีไฟล์ lการบัฟเฟอร์แบบโอเวอร์บัฟเฟอร์ที่อิงตาม Blit1to4 ในวิดีโอ / SDL_blit_1.c, SDL_GetRGB ในวิดีโอ / SDL_pixels.c, SDL_FillRect ในวิดีโอ / SDL_surface.c และ Map1toN ในวิดีโอ / SDL_pixels.c
อย่างแรกข้างต้นมีผลกับ Ubuntu 19.10 Eoan Ermine ด้วยดังนั้นแพตช์จะเปิดตัวเร็ว ๆ นี้สำหรับเวอร์ชันที่จะเปิดตัวในวันที่ 17 ตุลาคม หลังจากติดตั้งการอัปเดตแล้วคุณต้องรีสตาร์ทคอมพิวเตอร์เพื่อให้การเปลี่ยนแปลงมีผล และถึงแม้ว่าจะไม่ใช่ความล้มเหลวที่ร้ายแรง ออกโรงเราจะรอคุณ