Publicidade

sexta-feira, 19 de maio de 2017

A Canonical lança nova atualização de segurança do kernel para Ubuntu 16.10, 16.04 e 14.04.


Afeta os kernels de 32 bits, 64 bits e Raspberry Pi 2.



Depois de corrigir seis vulnerabilidades nos pacotes do kernel do sistema operacional Ubuntu 17.04 (Zesty Zapus) , a Canonical também atualizou os kernels do Ubuntu 16.10 (Yakkety Yak), Ubuntu 16.04 LTS (Xenial Xerus) e Ubuntu 14.04 LTS (Trusty Tahr).

Somente os pacotes do kernel do Ubuntu 16.04 LTS e 16.04.1 lançamentos LTS receberam a maior atenção nesta nova atualização, abordando um problema de estouro de buffer de pilha ( CVE-2017-7187 ) descoberto por Dmitry Vyukov no SCSI genérico do kernel do Linux ), Que permite que os atacantes locais que tinham acesso a um dispositivo sg para travar o sistema afetado ou executar código aleatório.

A segunda vulnerabilidade ( CVE-2017-7261 ) é uma desreferência de ponteiro NULL descoberta no driver Direct Rendering Manager (DRM) do kernel do Linux para dispositivos VMWare, o que poderia permitir que um invasor local travasse o sistema causando uma negação de serviço ea terceira Um ( CVE-2017-7616 ) parece ser um vazamento de informações nas syscalls set_mempolicy e mbind compat do kernel do Linux, permitindo que um invasor local exponha informações confidenciais da memória do kernel.

A quarta e última falha de segurança ( CVE-2017-7294 ) é uma vulnerabilidade de estouro de inteiros descoberta por Li Qiang no driver Direct Rendering Manager (DRM) do kernel do Linux para dispositivos VMWare, o que poderia permitir que um invasor local executasse código arbitrário ou causasse uma negação De serviço, colidir assim a máquina vulnerável. Os usuários são instados a atualizar para o pacote do kernel linux-image 4.4.0.78.84 .

Veja o que foi corrigido para os usuários Ubuntu 16.10 e Ubuntu 14.04 LTS
Para o Ubuntu 16.10 (Yakkety Yak), que executa o kernel Linux 4.8, a Canonical corrigiu apenas um problema de estouro de heap ( CVE-2017-7477 ) descoberto por Jason Donenfeld no módulo MACsec do kernel do Linux, que permite a um atacante executar código arbitrário ou causar Uma negação de serviço e travar o sistema vulnerável. O mesmo kernel remendado também está disponível para usuários do Ubuntu 16.04.2 LTS através do kernel HWE de habilitação de hardware ( linux-image-generic-hwe-16.04 4.8.0.52.23 ).

Por outro lado, para Ubuntu 14.04 LTS (Trusty Tahr) foi abordada uma falha de segurança ( CVE-2016-8645 ) que fez a implementação TCP do kernel do Linux para mishandle socket buffer (skb) truncamento. O problema foi descoberto por Marco Grassi, e poderia permitir que um atacante local para travar o sistema afetado, causando uma negação de serviço. Os usuários devem atualizar para o pacote do kernel linux-image 3.13.0.119.129 . Os detalhes sobre como atualizar são fornecidos em https://wiki.ubuntu.com/Security/Upgrades .


Fonte

Até a próxima!!!