A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak. A Debian projekt is kiadott új kerneleket, biztonsági hibákat javítva velük.

Az új Linux kernel biztonsági javítások elérhetőek:

• az Ubuntu 22.04 LTS (Jammy Jellyfish), így a Linux Mint 21.x sorozathoz is,
• az Ubuntu 20. 04 LTS (Focal Fossa), így a Linux Mint 20.x sorozathoz is,
• az Ubuntu 18.04 LTS (Bionic Beaver), így a Linux Mint 19.x sorozathoz is,
• illetve az ESM fázisban lévő kernelekhez az Ubuntu 16.04 ESM (Xenial Xerus), és
• Debian GNU/Linux 11 „Bullseye”

A Debian GNU/Linux és Ubuntu Linux disztribúciók felhasználói fontos kernel biztonsági frissítéseket kaptak, amelyek több, különböző biztonsági kutatók által felfedezett sebezhetőséget orvosolnak.

2022. október 18-án a Debian GNU/Linux 11 „Bullseye” felhasználók egy új nagy kernelfrissítést kaptak, amely összesen 17 biztonsági sebezhetőséget javít, köztük a CVE-2022-3176 és CVE-2022-2602, az io_uring alrendszerben felfedezett két hibát, amelyek helyi jogosultságok kiterjesztéséhez vezethetnek a root rendszerhez, valamint a CVE-2022-40307, az EFI capsule-loader driverben felfedezett versenyhelyzet, amely szintén helyi jogosultságok kiterjesztéséhez vagy szolgáltatásmegtagadáshoz (összeomlás vagy memóriakárosodás) vezethet.

Szintén javításra került a CVE-2022-20421, egy másik use-after-free sebezhetőség, amely a jogosultságok kiterjesztéséhez vezethet, a CVE-2022-39188, egy versenyhelyzet, amelyet a Google Project Zero munkatársa, Jann Horn fedezett fel a kernel bizonyos memóriatartományok leképezésének feloldásában, ami szintén a jogosultságok helyi kiterjesztéséhez vagy a szolgáltatás megtagadásához vezethet, valamint a CVE-2022-39842, egy egész szám túlcsordulás, amelyet a pxa3xx-gcu videó vezérlőben fedeztek fel, ami a kötésen kívüli heap íráshoz vezethet.

Az új Debian Bullseye kernel biztonsági frissítés javítja a CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 és CVE-2022-42722 kódokat is, amelyek a Sönke Huster által a WiFi driver stackben (mac80211 alrendszer) felfedezett, WLAN keretek által kiváltott több sebezhetőséget jelentik, amelyek szolgáltatásmegtagadáshoz vagy kódfuttatáshoz vezethetnek, valamint a CVE-2022-3303, a hang alrendszerben felfedezett versenyhelyzet, és a CVE-2022-3061, az i740 meghajtóban felfedezett hiba, amelyek mindkettő szolgáltatásmegtagadási támadásokhoz vezet.

Egy másik érdekes hiba, amelyet a Debian GNU/Linux 11 „Bullseye” új kernel biztonsági frissítése javít, a CVE-2022-2663, amelyet David Leadbeater fedezett fel az nf_conntrack_irc kapcsolatkövető protokollmodulban, amely, ha egy tűzfalon engedélyezve van, lehetővé teheti egy külső felhasználó számára, aki ugyanazon az IRC hálózaton van, mint egy belső felhasználó, hogy "kihasználva a laza elemzést, tetszőleges TCP portokat nyisson a tűzfalon és felfedje a nyilvános IP címét, vagy blokkolja az IRC kapcsolatát a tűzfalnál" - olvasható a biztonsági tájékoztatóban.

További biztonsági hibák közé tartozik a Christian Brauner által bejelentett CVE-2021-4037-es biztonsági rés az XFS fájlrendszerben, amely lehetővé teheti a helyi felhasználók számára, hogy nem kívánt csoporttulajdonnal rendelkező fájlokat hozzanak létre, lehetővé téve a támadók számára a jogosultságok kiterjesztését egy egyszerű fájl futtathatóvá tételével és SGID-vel, valamint a CVE-2022-0171-es biztonsági rés, a Mingwei Zhang által a KVM alrendszerben felfedezett cache inkoherencia probléma, amely szolgáltatásmegtagadáshoz vezethet, valamint a CVE-2022-1184, az EXT4 fájlrendszer-illesztőprogramban felfedezett hiba, amely use-after-free hibához vezethet, és lehetővé teheti egy privilegizált helyi felhasználó számára, hogy szolgáltatásmegtagadást (összeomlás vagy memóriakárosodás) okozzon vagy növelje a jogosultságait.

Másrészt az Ubuntu felhasználók ma, október 20-án új kernel biztonsági frissítéseket kaptak a Linux kernel 5.15 LTS-t futtató Ubuntu 22.04 LTS és Ubuntu 20.04 LTS rendszerekhez, valamint az Ubuntu 20.04 LTS és Ubuntu 18. 04 LTS rendszerekhez, amelyeken a Linux kernel 5.4 LTS fut, javítva az összes fent említett WiFi driver stack sebezhetőséget, valamint a David Bouman és Billy Jheng Bing Jhong által az io_uring alrendszerben felfedezett jogosultságnövelési hibát (CVE-2022-2602).

A Debian GNU/Linux 11 „Bullseye” operációs rendszer felhasználóit arra kérik, hogy frissítsék telepítésüket az 5.10.149-1 kernelre, míg az Ubuntu 22.04 LTS és az Ubuntu 20.04.5 LTS felhasználóknak a linux-image 5.15.0-52.58-ra és linux-image 5.15.0-52.58~20.04.1-re, illetve az Ubuntu 20.04 LTS és Ubuntu 18.04.6 LTS felhasználók pedig a linux-image 5.4.0-131.147-re és linux-image-hwe 5.4.0.131.147~18.04.108-ra kell frissíteniük gépüket.

A Canonical minden Ubuntu felhasználót arra kér, hogy a lehető leghamarabb frissítsék telepítéseiket a stabil archívumokban már elérhető új Linux kernelverziókra. A Debian és az Ubuntu rendszer frissítéséhez használja Linux Mint, valamint a Linux Mint Debian Edition alatt a Frissítéskezelő grafikus segédprogramot, vagy futtassa a következő parancsokat a Terminal alkalmazásban:

sudo apt update && sudo apt full-upgrade

Ne felejtse el újraindítani rendszerét az új kernelváltozatok telepítése után, valamint újraépíteni és újratelepíteni a harmadik féltől származó kernelmodulokat.

(forrás)