Frissítsen most: az Ubuntu Linux Kernel frissítés 16 sebezhetőséget kezel

kami911 képe

A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.

Három héttel az előző biztonsági frissítések után, amelyek 16 sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:

  • az Ubuntu 22.04 LTS (Jammy Jellyfish), így a Linux Mint 21.x sorozathoz is,
  • az Ubuntu 20. 04 LTS (Focal Fossa), így a Linux Mint 20.x sorozathoz is,
  • az Ubuntu 18.04 LTS (Bionic Beaver), így a Linux Mint 19.x sorozathoz is,
  • illetve az ESM fázisban lévő kernelekhez az Ubuntu 16.04 ESM (Xenial Xerus), és
  • az Ubuntu 14.04 ESM (Trusty Tahr) kiadásokhoz.

A Linux kernel 5.15 LTS-t futtató Ubuntu 22.04 LTS és Ubuntu 20.04 LTS rendszerek esetében az új kernelfrissítések a CVE-2022-1882-t, egy Selim Enes Karaduman által az általános értesítési sorban történő implementációban felfedezett versenyhelyzetet, valamint a CVE-2022-39189-et, a Google Project Zero munkatársa, Jann Horn által a KVM alrendszerben felfedezett biztonsági hibát kezelik. Mindkettő lehetővé teheti egy vendég virtuális gépen lévő helyi támadó számára, hogy szolgáltatásmegtagadást (a vendég összeomlása) vagy esetleg tetszőleges kód futtatását okozzanak.

A Linux kernel 5.15 LTS-t futtató Ubuntu 22.04 LTS és 20.04 LTS rendszerekhez, valamint a Linux kernel 5.4 LTS-t futtató Ubuntu 20.04 LTS és 18.04 LTS rendszereken is kihasználható LTS rendszerkernel futó rendszerekhez készült új biztonsági frissítések javítják a CVE-2022-3176 hibát. Az Eric Biggers által az io_uring alrendszerben felfedezett use-after-free sebezhetőséget, amely lehetővé teheti egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon vagy tetszőleges kódot futtasson, CVE-2022-36879, a Netlink Transformation (XFRM) alrendszerben felfedezett hiba, amely lehetővé teszi, hogy egy helyi támadó szolgáltatásmegtagadást (rendszerösszeomlást) okozzon, valamint a CVE-2022-26373, az eIBRS (Enhanced Indirect Branch Restricted Speculation) Intel CPU-kat érintő probléma, amely lehetővé teszi, hogy egy helyi támadó érzékeny információkat tegyen közzé.

Kizárólag a Linux kernel 5.4 LTS-t futtató Ubuntu 20.04 LTS és 18.04 LTS rendszereken az új Linux kernel biztonsági frissítés kijavítja a CVE-2022-20369, a Video for Linux 2 (V4L2) implementációjában felfedezett, korlátokon kívüli írási sebezhetőséget, amely lehetővé teheti egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon vagy tetszőleges kódot futtasson, valamint a CVE-2021-4159, a BPF verifier-ben felfedezett biztonsági problémát, amely lehetővé teheti egy helyi támadó számára, hogy érzékeny információkat (kernel memória) tegyen közzé.

A Linux kernel 5.4 LTS-t futtató Ubuntu 20.04 LTS és 18.04 LTS rendszerekhez, valamint a Linux kernel 4.15-t futtató Ubuntu 18.04 LTS és 16.04 ESM rendszerekhez készült új biztonsági javítások több olyan biztonsági sebezhetőséget (CVE-2022-33740, CVE-2022-33741, CVE-2022-33742 és CVE-2022-33744) orvosolnak, amelyeket a Xen paravirtualizációs platformban találtak, és amelyek lehetővé teszik, hogy egy helyi támadó érzékeny információkat (vendég kernelmemória) tegyen közzé, vagy szolgáltatásmegtagadást (vendég vagy hoszt összeomlása) okozzon.

Ugyanez vonatkozik a CVE-2022-26365-re, a Roger Pau Monné által a Xen virtuális blokkmeghajtóban felfedezett biztonsági résre, amely lehetővé teheti egy helyi támadó számára érzékeny információk (vendégkernel-memória) felfedezését, valamint a CVE-2022-2318-ra, a Linux kernel Rose X.25 protokollrétegének implementációját kezelő időzítőben felfedezett versenyfeltételekre, amelyek lehetővé tehetik egy helyi támadó számára a szolgáltatás megtagadásának (rendszerösszeomlás) okozását.

Az Ubuntu 18.04 LTS és Ubuntu 16.04 ESM rendszerek esetében, amelyeken a Linux kernel 4.15 fut, az új biztonsági frissítések a CVE-2022-0812 biztonsági hibát is kezelik, amelyet a SUNRPC RDMA protokoll implementációjában fedeztek fel, és amely lehetővé teheti egy helyi támadó számára érzékeny információk felfedezését (kernel memória), valamint a CVE-2022-1012 és CVE-2022-32296 biztonsági hibákat, amelyeket Moshe Kol, Amit Klein és Yossi Gilad fedezett fel az IP implementációban, és amelyek lehetővé tehetik egy támadó számára érzékeny információk felfedezését.

A Canonical arra kéri az Ubuntu felhasználóit, hogy a lehető leghamarabb frissítsék a rendszereikben lévő kernelcsomagokat az új verziókra (linux-image 5.15.0.50.50 az Ubuntu 22.04 LTS-hez, linux-image 5.15.0-50.56~20.04.1 az Ubuntu 20.04.5 LTS-hez, linux-image 5. 4.0.128.144 az Ubuntu 20.04 LTS-hez, linux-image 5.4.0.128.144~18.04.107 az Ubuntu 18.04.6 LTS-hez, linux-image 4.15.0.194.179 az Ubuntu 18.04 LTS-hez, és linux-image 4.15.0-194.205~16.04.1 az Ubuntu 16.04 ESM-hez Ubuntu Pro használatával).

A Canonical minden Ubuntu felhasználót arra kér, hogy a lehető leghamarabb frissítsék telepítéseiket a stabil archívumokban már elérhető új Linux kernelverziókra. Az Ubuntu rendszer frissítéséhez használja Linux Mint alatt a Frissítéskezelő grafikus segédprogramot, vagy futtassa a következő parancsokat a Terminal alkalmazásban:

sudo apt update && sudo apt full-upgrade

Ne felejtse el újraindítani rendszerét az új kernelváltozatok telepítése után, valamint újraépíteni és újratelepíteni a harmadik féltől származó kernelmodulokat.

(forrás)

Hozzászólások

kimarite képe

Az LMDE5 rendszerhez mit kell

Értékelés: 

0
Még nincs értékelve

#1 Az LMDE alapjául szolgáló Debian kernel más, mint az Ubuntu kernel. Mindkettőnek alapja a Vanilla kernel, amit Linusék fejlesztenek, de különféleképpen van beállítva. Gondolom, a beállításokat javítják, és részben a kernel sebezhetőségét. A Debian ugyanígy javítja a kernelt, sőt, az Ubuntu javításokat visszaportolják (már, ha nem egyedi dologról van szó, amit nem találsz meg a Debian rendszeren).

A lényeg, mindig frissítsd a kernelt és a csomagokat (mindennap), azaz ne legyen visszatartott frissítés. HA problémát okozó alkalmazással találkozol, akkor kérdezz a fórumon.

Nyilván fontos ez a hír, bizalmat erősít, de azt kell tudni, az összes Linux terjesztés fejlesztőcsapata nagyon rövid idő alatt javítja az alkalmazások biztonsági sebezhetőségeit, és a fejlesztéseket megosztják egymással. :)

kimarite képe

Az LMDE5 rendszerhez mit kell

Értékelés: 

0
Még nincs értékelve

#1.1 Az „imént” érkezett (lerövidítve, de linkelve): :)

apt-listchanges: Changelogs
---------------------------

--- Changes for linux-signed-amd64 (linux-headers-amd64 linux-image-5.10.0-19-amd64 linux-image-amd64) ---
linux-signed-amd64 (5.10.149+1) bullseye-security; urgency=high

  * New upstream stable update:
    https://www.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.149

Mon, 17 Oct 2022 21:44:25 +0200

linux (5.10.148-1) bullseye-security; urgency=high

  * New upstream stable update:
    https://www.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.141

Sun, 16 Oct 2022 23:18:41 +0200
kimarite képe

Az LMDE5 rendszerhez mit kell

Értékelés: 

0
Még nincs értékelve

#1.1.1 Zanzásítva:

Package        : linux
CVE ID         : CVE-2021-4037 CVE-2022-0171 CVE-2022-1184 CVE-2022-2602
                 CVE-2022-2663 CVE-2022-3061 CVE-2022-3176 CVE-2022-3303
                 CVE-2022-20421 CVE-2022-39188 CVE-2022-39842 CVE-2022-40307
                 CVE-2022-41674 CVE-2022-42719 CVE-2022-42720 CVE-2022-42721
                 CVE-2022-42722

Az LMDE5 rendszerhez mit kell

Értékelés: 

0
Még nincs értékelve

#1.1.1

Hm.  szerint 5.10.149 a kernel most?

Nekem v5.15.0-0.bpo.3-amd64 ez van fent.

Akkor most "frissítsem" egy korábbi verzióra?

kimarite képe

Az LMDE5 rendszerhez mit kell

Értékelés: 

0
Még nincs értékelve

#1.1.1.2 Mutatok valamit (leírását megtalálod a fórumon). :)

uname -rv
5.19.0-16.2-liquorix-amd64 #1 ZEN SMP PREEMPT_DYNAMIC liquorix 5.19-24.1~bullseye (2022-10-

Ugyanúgy mindennap minden csomagot frissítek.

Te a Backports tükörről származó (bpo) kernelt használod. Erre a tükörre a Debian Testing kiadásból kerülnek be a stabil kiadásba a csomagok, átalakítva, hogy a függőségeik is megfeleljenek a korábbi kiadásban megtalálható csomagokénak. A LMDE kiadásban -egy ideje- a Debian Backports tükör alapértelmezetten be van kapcsolva, használatban van.

De ha csak egyszer a fő tükörről származó kernellel lépsz be (az is telepítve, ellenőrizd akár - és ez lett javítva), és véletlenül arra jár egy rosszfiú..., szóval sebezhető a rendszer, ha nem frissítesz egy-egy csomagot. Mindegy mit. Úgysem tudod megjegyezni vagy befolyásolni, hogy a rendszer ne használja. És vége a dalnak, legalábbis, például az adataidnak. Nem kell gondolkodni azon, hogy frissítesz-e vagy nem: alap, hogy igen.

Az LMDE5 rendszerhez mit kell

Értékelés: 

0
Még nincs értékelve

#1.1.1.2.1

Köszönöm a válaszod.

Hiába futtatom le a frissítési parancsot, a terminálban látom, hogy felteszi a v.5.10.akármit, de utána a uname -rv továbbra is a v.5.15-öt mutatja. Mit kell tennem, és hogyan, hogy mégis naprakész legyen a kernelem?

kimarite képe

Naprakész a kerneled! Mindegyik. De csak egy van használatban

Értékelés: 

0
Még nincs értékelve

#1.1.1.2.1.1 Mint írtam, a rendszeren akár többféle verziószámú kernelek sorozata telepíthető. Mind-mind egyenként frissül, de alapértelmezetten a legmagasabb verziószámú kernelt használja a rendszer. Nálad a fő és a Backport tükör a két forrás, pontosabban a telepített két kernel forrása, nálam a fő tükör és a Liquorix tükör (a Backports tükröt is használom olykor). Íme:

ls -1 /boot/
config-5.10.0-16-amd64
config-5.10.0-19-amd64
config-5.18.0-11.1-liquorix-amd64
config-5.18.0-12.1-liquorix-amd64
config-5.18.0-7.4-liquorix-amd64
config-5.19.0-15.2-liquorix-amd64
config-5.19.0-16.2-liquorix-amd64
grub
initrd.img-5.10.0-16-amd64
initrd.img-5.10.0-19-amd64
initrd.img-5.18.0-11.1-liquorix-amd64
initrd.img-5.18.0-12.1-liquorix-amd64
initrd.img-5.18.0-7.4-liquorix-amd64
initrd.img-5.19.0-15.2-liquorix-amd64
initrd.img-5.19.0-16.2-liquorix-amd64
System.map-5.10.0-16-amd64
System.map-5.10.0-19-amd64
System.map-5.18.0-11.1-liquorix-amd64
System.map-5.18.0-12.1-liquorix-amd64
System.map-5.18.0-7.4-liquorix-amd64
System.map-5.19.0-15.2-liquorix-amd64
System.map-5.19.0-16.2-liquorix-amd64
vmlinuz-5.10.0-16-amd64
vmlinuz-5.10.0-19-amd64
vmlinuz-5.18.0-11.1-liquorix-amd64
vmlinuz-5.18.0-12.1-liquorix-amd64
vmlinuz-5.18.0-7.4-liquorix-amd64
vmlinuz-5.19.0-15.2-liquorix-amd64
vmlinuz-5.19.0-16.2-liquorix-amd64

De minden telepített kernel frissíthető egyenként, a fejlesztői irány szerint (ők készítik a frissítéseket).

Ha futtatod

sudo apt-get update

és

sudo apt-get upgrade

akkor az összes telepített kernel frissül. Ez így egészséges, hiszen bármelyiket használhatod, ezért mindegyiket frissíteni kell.
___

Be lehet állítani, hogy valamelyik telepített régebbi kernellel induljon a rendszer, mégpedig a GRUB-ban (például), a legutolsóként használt kernelt vagy rögzítve valamelyik verziót (ezek leírása is megtalálható) a fórumon. Felmerülhet, miért használnál régebbi kernelt, amikor az újabb jobb? :)