Ubuntu Linux Kernel frissítése

kami911 képe

A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek 20, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.

Az új Linux kernel biztonsági javítások elérhetőek:

  • az Ubuntu 22.10 LTS (Kinetic Kudu),
  • az Ubuntu 22.04 LTS (Jammy Jellyfish), így a Linux Mint 21.x sorozathoz is,
  • az Ubuntu 20. 04 LTS (Focal Fossa), így a Linux Mint 20.x sorozathoz is,
  • az Ubuntu 18.04 LTS (Bionic Beaver), így a Linux Mint 19.x sorozathoz is,
  • illetve az ESM fázisban lévő kernelekhez az Ubuntu 16.04 ESM (Xenial Xerus), és
  • az Ubuntu 14.04 ESM (Trusty Tahr) kiadásokhoz.

A legkritikusabb biztonsági rés, amelyet ezek a masszív Ubuntu kernel frissítések javítanak, a CVE-2022-2663, egy David Leadbeater által felfedezett hiba a netfilter IRC protokollkövetés implementációjában, amely lehetővé teszi egy távoli támadó számára, hogy szolgáltatásmegtagadást okozzon vagy megkerülje a tűzfal szűrését. Ez az Ubuntu 18.04 LTS, az Ubuntu 16.04 ESM és az Ubuntu 14.04 ESM Linux kernel 4.15-öt futtató rendszerek kivételével az összes Ubuntu változatot érinti.

Az új kernelfrissítésben javított számos biztonsági probléma az összes támogatott Ubuntu kiadást érinti. Ezek közé tartozik a CVE-2022-40307, az EFI kapszula betöltő vezérlőben talált versenyhelyzet, amely use-after-free sebezhetőséghez vezethet, valamint a CVE-2022-4095, a Zheng Wang és Zhuorao Yang által felfedezett use-after-free sebezhetőség a RealTek RTL8712U vezeték nélküli vezérlőben.

Ugyanez vonatkozik a CVE-2022-3586-ra, amely egy Gwnaun Jung által az SFB csomagütemezési implementációban felfedezett use-after-free sebezhetőség, és a CVE-2022-20421-re, amely egy versenyhelyzet, amelyet az Android Binder IPC alrendszerben találtak, és amely use-after-free sebezhetőséghez vezethet. Mindezek a problémák lehetővé tehetik egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) vagy tetszőleges kód futtatását okozza.

Három másik biztonsági hiba az Ubuntu 22.10, Ubuntu 22.04 LTS és Ubuntu 20.04 LTS Linux kernel 5.15-öt futtató rendszereket, valamint az Ubuntu 20.04 LTS és Ubuntu 18.04 LTS Linux kernel 5.4-et futtató rendszereket érintette. Ezek lehetővé tehetik a helyi támadók számára, hogy szolgáltatásmegtagadást okozzanak (rendszerösszeomlás vagy memória kimerülés) vagy tetszőleges kódot futtassanak.

Ezek a CVE-2022-43750, az USB monitorozó (usbmon) komponensben felfedezett probléma, a CVE-2022-3303, a hang alrendszerben felfedezett versenyhelyzet, valamint a CVE-2022-3646 és CVE-2022-3544, a NILFS2 fájlrendszer implementációjában felfedezett két hiba.

Az új kernel biztonsági frissítésekben javított CVE-2022-3649, a Khalid Masum által a NILFS2 fájlrendszer implementációjában felfedezett use-after-free sebezhetőség, amely csak a Linux kernel 5.19-et futtató Ubuntu 22.10 rendszereket, valamint a Linux kernel 5.15-öt futtató Ubuntu 22.04 LTS és Ubuntu 20.04 LTS rendszereket érintette. Ez a hiba lehetővé tehette egy helyi támadó számára, hogy szolgáltatásmegtagadást okozzon vagy tetszőleges kódot futtasson.

A CVE-2022-39842 jelű integer túlcsordulási sebezhetőség csak a Linux kernel 5.15-öt futtató Ubuntu 22.04 LTS és Ubuntu 20.04 LTS rendszereket, valamint a Linux kernel 5.4-et futtató Ubuntu 20.04 LTS és Ubuntu 18.04 LTS rendszereket érintette. Ezt Hyunwoo Kim fedezte fel a PXA3xx grafikus vezérlőben, ami lehetővé teszi egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon.

Ugyanez vonatkozik a CVE-2022-3061-re is, amely egy divide-by-zero sebezhetőséget fedezett fel az Intel 740-es keretpuffer-illesztőprogramban, amely szintén lehetővé teheti egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon. Ez a hiba azonban a Linux kernel 4.15-öt futtató Ubuntu 18.04 LTS, Ubuntu 16.04 ESM és Ubuntu 14.04 ESM rendszereket is érintette.

Egy másik érdekes hiba, amelyet az új Ubuntu kernelfrissítésekben javítottak, a CVE-2022-39188, a Google Project Zero munkatársa, Jann Horn által a Linux kernelben a VMA-k feltérképezésének bizonyos helyzetekben történő feloldásakor felfedezett versenyhelyzet, amely lehetséges use-after-free sebezhetőséget eredményezhet. Ez a hiba csak a Linux kernel 5.15-öt futtató Ubuntu 22.04 LTS és Ubuntu 20.04 LTS rendszereket, valamint a Linux kernel 4.15-öt futtató Ubuntu 18.04 LTS, Ubuntu 16.04 ESM és Ubuntu 14.04 ESM rendszereket érintette, és lehetővé tehette egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon vagy tetszőleges kódot futtasson.

Az új kernelfrissítések a CVE-2022-0171 biztonsági hibát is javítják, amely csak a Linux kernel 5.15-öt futtató Ubuntu 22.04 LTS és Ubuntu 20.04 LTS rendszereket érinti, és amelyet Mingwei Zhang fedezett fel az AMD processzorok KVM implementációjában, és amely lehetővé teheti egy helyi támadó számára, hogy szolgáltatásmegtagadást (a rendszer összeomlása) okozzon, valamint a CVE-2021-4159 hibát, amelyet a BPF verifikátorban találtak, és amely csak az Ubuntu 18 rendszert érinti. 04 LTS, Ubuntu 16.04 ESM és Ubuntu 14.04 ESM rendszereket érinti, amelyeken a Linux kernel 4.15 fut, és helyi támadó számára lehetővé teheti érzékeny információk felfedését (kernel memória).

Az Ubuntu 22.10 Linux 5.19-es kernelében hét másik biztonsági hibát is javítottak. Ezek közé tartozik a CVE-2022-3541, a Sunplus Ethernet illesztőprogramban felfedezett read-after-free sebezhetőség, amely lehetővé teheti a támadó számára érzékeny információk (kernel memória) felfedezését, a CVE-2022-3543, a Unix domain socket implementációban felfedezett memóriaszivárgás, amely lehetővé teheti a helyi támadó számára a szolgáltatás megtagadásának okozását (memória kimerülés), valamint a CVE-2022-3623, a hugetlb implementációban felfedezett versenyhelyzet, amely lehetővé teheti a helyi támadó számára a szolgáltatás megtagadásának okozását (rendszerösszeomlás) vagy érzékeny információk (kernel memória) felfedezését.

Négy másik use-after-free sebezhetőség érintette a Linux kernel 5.19-et futtató Ubuntu 22.10 rendszereket. Ezek a CVE-2022-3910, amelyet az io_uring alrendszerben fedeztek fel, a CVE-2022-3977, amelyet az MCTP implementációban fedeztek fel, a CVE-2022-41849, amelyet az SMSC UFX USB-illesztőprogramban fedeztek fel, és a CVE-2022-41850, amelyet a Roccat HID-illesztőprogramban fedeztek fel. Ezek lehetővé tehetik a helyi (vagy a CVE-2022-41849 esetében a fizikailag közeli) támadók számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzanak, vagy esetleg tetszőleges kódot futtassanak.

Mivel ezek sok és komoly hibát javító kernelfrissítések, a Canonical minden Ubuntu felhasználót arra ösztönöz, hogy telepítse az új kernelváltozatokat (linux-image 5.19.0.28.25 az Ubuntu 22.10, linux-image 5.15.0-57.63 az Ubuntu 22. 04 LTS, linux-image 5.15.0-57.63~20.04.1 és linux-image 5.4.0.136.134 az Ubuntu 20.04 LTS-hez, linux-image 5.4.0.136.153~18.04.111 és linux-image 4.15.0.201.184 az Ubuntu 18.04 LTS-hez) a lehető leghamarabb.

A Canonical minden Ubuntu felhasználót arra kér, hogy a lehető leghamarabb frissítsék telepítéseiket a stabil archívumokban már elérhető új Linux kernelverziókra. A Debian és az Ubuntu rendszer frissítéséhez használja Linux Mint, valamint a Linux Mint Debian Edition alatt a Frissítéskezelő grafikus segédprogramot, vagy futtassa a következő parancsokat a Terminal alkalmazásban:

sudo apt update && sudo apt full-upgrade

Ne felejtse el újraindítani rendszerét az új kernelváltozatok telepítése után, valamint újraépíteni és újratelepíteni a harmadik féltől származó kernelmodulokat.

(forrás)