Publicidade

quinta-feira, 12 de janeiro de 2017

Encontradas vulnerabilidades do kernel do Linux em todos os sistemas operacionais suportados do Ubuntu.



As falhas de segurança afetam o Ubuntu 16.10, 16.04, 14.04 & 12.04.



Em 11 de janeiro, a Canonical lançou as primeiras manchas de 2017 segurança para lidar com até quatro vulnerabilidades do kernel do Linux em todos os sistemas operacionais Ubuntu Linux suportadas.

Nos dias de hoje, a Canonical só lança correções de segurança como um pacote, para todas as versões do Ubuntu, e a primeira para o novo ano não é nem mesmo tão grande. Há dois problemas de segurança que afetam Ubuntu 16.10 (Yakkety Yak) e Ubuntu 12.04 LTS (Precise Pangolin), três falhas que afetam Ubuntu 16.04 LTS (Xenial Xerus), e quatro que afetam Ubuntu 14.04 LTS (Trusty Tahr).

A primeira vulnerabilidade afetou todas as versões e foi descoberta por Dmitry Vyukov na implementação do KVM do kernel do Linux, que não pôde inicializar corretamente o Segmento de Código (CS) em certos casos de erro, permitindo que um invasor local expusesse informações confidenciais da memória do kernel. A questão está documentada como o CVE-2016-9756 para mais informações, uma vez que afeta outras distribuições Linux.

Afetando apenas Ubuntu 12.04 LTS, Ubuntu 14.04 LTS e Ubuntu 16.04 LTS, a segunda falha de segurança parece ser uma condição de corrida descoberta por Baozeng Ding no sistema de som ALSA (Advanced Linux Sound Architecture) do kernel do Linux, que poderia permitir que um atacante local falhasse Causando uma negação de serviço. A vulnerabilidade está documentada como o CVE-2016-9794 .

A terceira questão de segurança afetou as versões Ubuntu 14.04 LTS, Ubuntu 16.04 LTS e Ubuntu 16.10. Foi descoberto por setsockopt de Andrey Konovalov Linux kernel () chamada de sistema, como estouros de inteiro assinado ao manusear as opções SO_RCVBUFFORCE e SO_SNDBUFFORCE, permitindo que um invasor local com a capacidade CAP_NET_ADMIN para causar uma corrupção de memória ou travar o sistema através de uma negação de serviço. A questão está documentada como o CVE-2016-9793 .

Ubuntu 14.04 LTS, sendo o lançamento mais vulnerável do ano, recebe mais um problema de segurança corrigido, ou seja, um livre duplo, descoberto por Baozeng Ding na função netlink_dump () do kernel do Linux, o que poderia ter permitido a um atacante local travar o sistema causando Uma recusa de serviço. Esta vulnerabilidade está documentada como o CVE-2016-9806 .

Todos os usuários do Ubuntu precisam atualizar seus sistemas o mais rápido possível
Como você pode ver, não há escalonamento remoto desta vez, então essas falhas de segurança não são tão ruins. No entanto, isso não significa que você não deve atualizar sua instalação Ubuntu Linux agora. As novas versões do kernel são linux-image 3.2.0-120.163 para Ubuntu 12.04 LTS, linux-image 3.13.0-107.154 ~ precise1 para Ubuntu 12.04 LTS Trusty HWE, linux-image 3.13.0-107.154 para Ubuntu 14.04 LTS e linux -image 4.4.0-59.80 ~ 14.04.1 para Ubuntu 14.04 LTS Xenial HWE.

Por outro lado, os usuários Ubuntu 16.04 LTS precisam atualizar seus sistemas para o kernel linux-image 4.4.0-59.80, bem como linux-image-4.4.0-1040-raspi2 4.4.0-1040.47 se eles estiverem usando O kernel Raspberry Pi 2 e os usuários do Ubuntu 16.10 precisam atualizar suas instalações para linux-image 4.8.0-34.36 e linux-image-4.8.0-1022-raspi2 4.8.0-1022.25 se estiverem usando o Raspberry Pi 2 portas. Para atualizar seu sistema, por favor, siga as instruções fornecidas pela Canonical em https://wiki.ubuntu.com/Security/Upgrades .


Até a próxima!!!