A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.
Három héttel az előző biztonsági frissítések után, amelyek 16 sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:
- az Ubuntu 22.04 LTS (Jammy Jellyfish), így a Linux Mint 21.x sorozathoz is,
- az Ubuntu 20. 04 LTS (Focal Fossa), így a Linux Mint 20.x sorozathoz is,
- az Ubuntu 18.04 LTS (Bionic Beaver), így a Linux Mint 19.x sorozathoz is,
- illetve az ESM fázisban lévő kernelekhez az Ubuntu 16.04 ESM (Xenial Xerus), és
- az Ubuntu 14.04 ESM (Trusty Tahr) kiadásokhoz.
A Linux kernel 5.15 LTS-t futtató Ubuntu 22.04 LTS és Ubuntu 20.04 LTS rendszerek esetében az új kernelfrissítések a CVE-2022-1882-t, egy Selim Enes Karaduman által az általános értesítési sorban történő implementációban felfedezett versenyhelyzetet, valamint a CVE-2022-39189-et, a Google Project Zero munkatársa, Jann Horn által a KVM alrendszerben felfedezett biztonsági hibát kezelik. Mindkettő lehetővé teheti egy vendég virtuális gépen lévő helyi támadó számára, hogy szolgáltatásmegtagadást (a vendég összeomlása) vagy esetleg tetszőleges kód futtatását okozzanak.
A Linux kernel 5.15 LTS-t futtató Ubuntu 22.04 LTS és 20.04 LTS rendszerekhez, valamint a Linux kernel 5.4 LTS-t futtató Ubuntu 20.04 LTS és 18.04 LTS rendszereken is kihasználható LTS rendszerkernel futó rendszerekhez készült új biztonsági frissítések javítják a CVE-2022-3176 hibát. Az Eric Biggers által az io_uring alrendszerben felfedezett use-after-free sebezhetőséget, amely lehetővé teheti egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon vagy tetszőleges kódot futtasson, CVE-2022-36879, a Netlink Transformation (XFRM) alrendszerben felfedezett hiba, amely lehetővé teszi, hogy egy helyi támadó szolgáltatásmegtagadást (rendszerösszeomlást) okozzon, valamint a CVE-2022-26373, az eIBRS (Enhanced Indirect Branch Restricted Speculation) Intel CPU-kat érintő probléma, amely lehetővé teszi, hogy egy helyi támadó érzékeny információkat tegyen közzé.
Kizárólag a Linux kernel 5.4 LTS-t futtató Ubuntu 20.04 LTS és 18.04 LTS rendszereken az új Linux kernel biztonsági frissítés kijavítja a CVE-2022-20369, a Video for Linux 2 (V4L2) implementációjában felfedezett, korlátokon kívüli írási sebezhetőséget, amely lehetővé teheti egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon vagy tetszőleges kódot futtasson, valamint a CVE-2021-4159, a BPF verifier-ben felfedezett biztonsági problémát, amely lehetővé teheti egy helyi támadó számára, hogy érzékeny információkat (kernel memória) tegyen közzé.
A Linux kernel 5.4 LTS-t futtató Ubuntu 20.04 LTS és 18.04 LTS rendszerekhez, valamint a Linux kernel 4.15-t futtató Ubuntu 18.04 LTS és 16.04 ESM rendszerekhez készült új biztonsági javítások több olyan biztonsági sebezhetőséget (CVE-2022-33740, CVE-2022-33741, CVE-2022-33742 és CVE-2022-33744) orvosolnak, amelyeket a Xen paravirtualizációs platformban találtak, és amelyek lehetővé teszik, hogy egy helyi támadó érzékeny információkat (vendég kernelmemória) tegyen közzé, vagy szolgáltatásmegtagadást (vendég vagy hoszt összeomlása) okozzon.
Ugyanez vonatkozik a CVE-2022-26365-re, a Roger Pau Monné által a Xen virtuális blokkmeghajtóban felfedezett biztonsági résre, amely lehetővé teheti egy helyi támadó számára érzékeny információk (vendégkernel-memória) felfedezését, valamint a CVE-2022-2318-ra, a Linux kernel Rose X.25 protokollrétegének implementációját kezelő időzítőben felfedezett versenyfeltételekre, amelyek lehetővé tehetik egy helyi támadó számára a szolgáltatás megtagadásának (rendszerösszeomlás) okozását.
Az Ubuntu 18.04 LTS és Ubuntu 16.04 ESM rendszerek esetében, amelyeken a Linux kernel 4.15 fut, az új biztonsági frissítések a CVE-2022-0812 biztonsági hibát is kezelik, amelyet a SUNRPC RDMA protokoll implementációjában fedeztek fel, és amely lehetővé teheti egy helyi támadó számára érzékeny információk felfedezését (kernel memória), valamint a CVE-2022-1012 és CVE-2022-32296 biztonsági hibákat, amelyeket Moshe Kol, Amit Klein és Yossi Gilad fedezett fel az IP implementációban, és amelyek lehetővé tehetik egy támadó számára érzékeny információk felfedezését.
A Canonical arra kéri az Ubuntu felhasználóit, hogy a lehető leghamarabb frissítsék a rendszereikben lévő kernelcsomagokat az új verziókra (linux-image 5.15.0.50.50 az Ubuntu 22.04 LTS-hez, linux-image 5.15.0-50.56~20.04.1 az Ubuntu 20.04.5 LTS-hez, linux-image 5. 4.0.128.144 az Ubuntu 20.04 LTS-hez, linux-image 5.4.0.128.144~18.04.107 az Ubuntu 18.04.6 LTS-hez, linux-image 4.15.0.194.179 az Ubuntu 18.04 LTS-hez, és linux-image 4.15.0-194.205~16.04.1 az Ubuntu 16.04 ESM-hez Ubuntu Pro használatával).
A Canonical minden Ubuntu felhasználót arra kér, hogy a lehető leghamarabb frissítsék telepítéseiket a stabil archívumokban már elérhető új Linux kernelverziókra. Az Ubuntu rendszer frissítéséhez használja Linux Mint alatt a Frissítéskezelő grafikus segédprogramot, vagy futtassa a következő parancsokat a Terminal alkalmazásban:
sudo apt update && sudo apt full-upgrade
Ne felejtse el újraindítani rendszerét az új kernelváltozatok telepítése után, valamint újraépíteni és újratelepíteni a harmadik féltől származó kernelmodulokat.
(forrás)
Hozzászólások
Az LMDE5 rendszerhez mit kell
Beküldte visit -
Értékelés:
Az LMDE5 rendszerhez mit kell feltennem, (milyen kernelt) és hogyan?
Az LMDE5 rendszerhez mit kell
Beküldte kimarite -
Értékelés:
Vanilla kernel, amit Linusék fejlesztenek, de különféleképpen van beállítva. Gondolom, a beállításokat javítják, és részben a kernel sebezhetőségét. A Debian ugyanígy javítja a kernelt, sőt, az Ubuntu javításokat visszaportolják (már, ha nem egyedi dologról van szó, amit nem találsz meg a Debian rendszeren).
Az LMDE alapjául szolgáló Debian kernel más, mint az Ubuntu kernel. Mindkettőnek alapja aA lényeg, mindig frissítsd a kernelt és a csomagokat (mindennap), azaz ne legyen visszatartott frissítés. HA problémát okozó alkalmazással találkozol, akkor kérdezz a fórumon.
Nyilván fontos ez a hír, bizalmat erősít, de azt kell tudni, az összes Linux terjesztés fejlesztőcsapata nagyon rövid idő alatt javítja az alkalmazások biztonsági sebezhetőségeit, és a fejlesztéseket megosztják egymással. :)
Az LMDE5 rendszerhez mit kell
Beküldte kimarite -
Értékelés:
Az LMDE5 rendszerhez mit kell
Beküldte kimarite -
Értékelés:
Az LMDE5 rendszerhez mit kell
Beküldte visit -
Értékelés:
Hm. szerint 5.10.149 a kernel most?
Nekem v5.15.0-0.bpo.3-amd64 ez van fent.
Akkor most "frissítsem" egy korábbi verzióra?
Az LMDE5 rendszerhez mit kell
Beküldte kimarite -
Értékelés:
Ugyanúgy mindennap minden csomagot frissítek.
Te a Backports tükörről származó (bpo) kernelt használod. Erre a tükörre a Debian Testing kiadásból kerülnek be a stabil kiadásba a csomagok, átalakítva, hogy a függőségeik is megfeleljenek a korábbi kiadásban megtalálható csomagokénak. A LMDE kiadásban -egy ideje- a Debian Backports tükör alapértelmezetten be van kapcsolva, használatban van.
De ha csak egyszer a fő tükörről származó kernellel lépsz be (az is telepítve, ellenőrizd akár - és ez lett javítva), és véletlenül arra jár egy rosszfiú..., szóval sebezhető a rendszer, ha nem frissítesz egy-egy csomagot. Mindegy mit. Úgysem tudod megjegyezni vagy befolyásolni, hogy a rendszer ne használja. És vége a dalnak, legalábbis, például az adataidnak. Nem kell gondolkodni azon, hogy frissítesz-e vagy nem: alap, hogy igen.
Az LMDE5 rendszerhez mit kell
Beküldte visit -
Értékelés:
Köszönöm a válaszod.
Hiába futtatom le a frissítési parancsot, a terminálban látom, hogy felteszi a v.5.10.akármit, de utána a uname -rv továbbra is a v.5.15-öt mutatja. Mit kell tennem, és hogyan, hogy mégis naprakész legyen a kernelem?
Naprakész a kerneled! Mindegyik. De csak egy van használatban
Beküldte kimarite -
Értékelés:
De minden telepített kernel frissíthető egyenként, a fejlesztői irány szerint (ők készítik a frissítéseket).
Ha futtatod
és
akkor az összes telepített kernel frissül. Ez így egészséges, hiszen bármelyiket használhatod, ezért mindegyiket frissíteni kell.
___
Be lehet állítani, hogy valamelyik telepített régebbi kernellel induljon a rendszer, mégpedig a GRUB-ban (például), a legutolsóként használt kernelt vagy rögzítve valamelyik verziót (ezek leírása is megtalálható) a fórumon. Felmerülhet, miért használnál régebbi kernelt, amikor az újabb jobb? :)