Lỗ hổng bảo mật trên Linux thường ít và không quá nghiêm trọng, tuy nhiên bản vá mà Canonical vừa tung ra cho thấy không phải lúc nào cũng như vậy. Công ty được điều hành bởi Mark Shuttleworth đã phát hành bản cập nhật kernel cho Ubuntu 16.04 LTS (Xenial sử dụng cùng kernel.
Bản sửa lỗi đã có trong Linux 4.15 HWE bao gồm Ubuntu 18.04 LTS, vì vậy các phiên bản vòng đời 9 tháng khác, tức là không phải LTS, dường như cũng bị ảnh hưởng. Thực tế là Canonical chỉ cung cấp bản cập nhật này cho người dùng có hệ điều hành bị xâm nhập và vẫn được hỗ trợ chính thức. Ubuntu 14.04 sẽ được hỗ trợ cho đến ngày 30 tháng XNUMX nhưng kernel của nó không bị ảnh hưởng bởi 5 lỗi được đề cập trong bài viết này.
Bản cập nhật kernel Ubuntu 16.04 sửa 5 lỗi bảo mật
Năm lỗi đã được sửa là:
- El CVE-2017-18241- Việc triển khai hệ thống tệp F2FS không thành công do xử lý sai tùy chọn gắn kết noflush_merge.
- CVE-2018-7740: liên quan đến lỗi trước đó, nhưng trong trường hợp này có nhiều tình trạng quá tải trong quá trình triển khai khổng lồ. Lỗi này và lỗi trước đó có thể cho phép người dùng độc hại cục bộ khai thác lỗ hổng thông qua việc từ chối dịch vụ.
- El CVE-2018-1120 đã được phát hiện trong hệ thống tập tin giao dịch và cho phép người dùng độc hại cục bộ chặn một số công cụ nhất định được sử dụng để kiểm tra hệ thống tệp giao dịch để báo cáo trạng thái của hệ điều hành vì nó không thể quản lý chính xác các quá trình ánh xạ tới các thành phần bộ nhớ.
- CVE-2019-6133 cho phép người dùng độc hại cục bộ có quyền truy cập vào các dịch vụ đã lưu trữ ủy quyền.
- CVE-2018-19985 có thể cho phép kẻ tấn công vật lý ở gần gây ra sự cố hệ thống.
Canonical khuyến nghị tất cả người dùng bị ảnh hưởng cập nhật càng sớm càng tốt sang phiên bản kernel 4.4 đã có sẵn trong kho chính thức. Cá nhân tôi cho rằng tất cả các lỗ hổng sẽ bị kẻ tấn công cục bộ khai thác nên tôi sẽ sớm cập nhật nhưng tôi cũng không quá lo lắng. Và bạn?