A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.
Három héttel az előző biztonsági frissítések után, amelyek 13 sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:
- az Ubuntu 21.10 (Impish Indri),
- az Ubuntu 21.04 (Hirsute Hippo),
- az Ubuntu 20. 04 LTS (Focal Fossa), így a Linux Mint 20.x sorozathoz is,
- az Ubuntu 18.04 LTS (Bionic Beaver), így a Linux Mint 19.x sorozathoz is,
- illetve az ESM fázisban lévő kernelekhez az Ubuntu 16.04 ESM (Xenial Xerus), és
- az Ubuntu 14.04 ESM (Trusty Tahr) kiadásokhoz.
Az új kernel biztonsági frissítések a CVE-2021-4002 biztonsági hibát javítják, amely az összes fent említett Ubuntu kiadást érinti, és amelyet Nadav Amit fedezett fel a Linux kernel hugetlb implementációjában. Ez a szivárgás lehetővé teheti egy helyi támadó számára, hogy megváltoztassa más, hatalmas oldalakat (huge pages) használó folyamatok adatait.
Az új kernel biztonsági frissítések az összes támogatott Ubuntu kiadást is érintik: a CVE-2021-41864, az eBPF implementációban felfedezett egész szám túlcsordulás, a CVE-2021-43389, az ISDN CAPI implementációban felfedezett versenyfeltétel és a CVE-2021-43267, a TIPC protokoll implementációjában felfedezett hiba. Ezek lehetővé tehetik a kiváltságos helyi támadók számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) vagy tetszőleges kód futtatását okozzák.
Ugyanez vonatkozik a CVE-2021-20321-re, a Linux kernel overlay fájlrendszer (OverlayFS) implementációjában felfedezett versenyhelyzetre is, amely lehetővé teheti egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon, valamint a CVE-2021-3760-ra, az NFC alrendszerben felfedezett use-after-free sebezhetőségre, amely lehetővé teheti egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon vagy tetszőleges kódot futtasson.
A Linux kernel 5.11-et futtató Ubuntu 21.10, Ubuntu 21.04 és Ubuntu 20.04 LTS rendszerek, valamint a Linux kernel 5.4-et futtató Ubuntu 20.04 LTS és Ubuntu 18.04 LTS rendszerek esetében az új kernel biztonsági frissítések a CVE-2021-43056-ot kezelik, amely a POWER8 processzorok KVM implementációjában felfedezett hiba, amely lehetővé teheti egy vendég virtuális gépen lévő támadó számára, hogy a szolgáltatás megtagadásával összeomlassza a fogadó operációs rendszert.
A Linux kernel 5.13-at futtató Ubuntu 21.10 rendszerek, valamint a Linux kernel 5.11-et futtató Ubuntu 21.04 és Ubuntu 20.04 LTS rendszerek esetében az új kernelfrissítések javítják a CVE-2021-43267 biztonsági hibát is, amelyet a TIPC protokoll implementációjában fedeztek fel, és amely lehetővé teheti a támadó számára, hogy a rendszer összeomlásával szolgáltatásmegtagadást okozzon, vagy tetszőleges kódot futtasson.
Kizárólag a Linux kernel 5.4-et futtató Ubuntu 20.04 LTS és Ubuntu 18.04 LTS rendszerek esetében az új kernel biztonsági frissítések a CVE-2020-26541-et is javítják, amely egy kritikus hiba, és lehetővé teheti a támadó számára az UEFI Secure Boot korlátozások megkerülését, mivel a Linux kernel nem érvényesítette megfelelően a Secure Boot Forbidden Signature Database (más néven dbx) védelmi mechanizmus bizonyos típusú bejegyzéseit.
Végül, de nem utolsósorban, az új kernel biztonsági frissítések a CVE-2021-20317-et is javítják, amely a Linux kernel időzítő implementációjában felfedezett versenyhelyzet, amely lehetővé teheti egy privilegizált támadó számára, hogy szolgáltatásmegtagadást okozzon.
A Canonical minden Ubuntu felhasználót arra kér, hogy a lehető leghamarabb frissítsék telepítéseiket a stabil archívumokban már elérhető új Linux kernelverziókra. Az Ubuntu rendszer frissítéséhez használja a frissítő alkalmazást, Linux Mint alatt a Frissítéskezelő grafikus segédprogramot, vagy futtassa a következő parancsokat a Terminal alkalmazásban:
sudo apt update && sudo apt full-upgrade
Ne felejtse el újraindítani rendszerét az új kernelváltozatok telepítése után, valamint újraépíteni és újratelepíteni a harmadik féltől származó kernelmodulokat.
(forrás)