Confira !
Esta atualização é baseada no kernel 5.6.14 upstream e corrige os seguintes problemas de segurança: Uma falha de desreferência de ponteiro NULL foi encontrada no subsistema SELinux do kernel Linux nas versões anteriores à 5.7. Essa falha ocorre durante a importação do
MGASA-2020-0228 - Pacotes kernel-linus atualizados corrigem vulnerabilidades de segurança
Data de publicação: 24 de maio de 2020
URL: https://advisories.mageia.org/MGASA-2020-0228.html
Tipo: segurança
Lançamentos da Mageia afetados: 7
CVE: CVE-2020-10711,
CVE-2020-12464,
CVE-2020-12659,
CVE-2020-12770,
CVE-2020-13143
Esta atualização é baseada no kernel 5.6.14 upstream e corrige pelo menos
os seguintes problemas de segurança:
Uma falha de desreferência de ponteiro NULL foi encontrada no SELinux do kernel Linux
subsistema nas versões anteriores à 5.7. Essa falha ocorre durante a importação do
O bitmap da categoria do protocolo CIPSO (Commercial IP Security Option)
o bitmap extensível do SELinux através da rotina 'ebitmap_netlbl_import'.
Ao processar a tag de bitmap restrito do CIPSO no diretório
rotina 'cipso_v4_parsetag_rbm', define o atributo de segurança como
indicam que o bitmap da categoria está presente, mesmo que não tenha sido
alocado. Esse problema leva a um problema de desreferenciação de ponteiro NULL enquanto
importando o mesmo bitmap de categoria para o SELinux. Essa falha permite uma
usuário de rede remoto para travar o kernel do sistema, resultando em uma negação
de serviço (CVE-2020-10711).
usb_sg_cancel em drivers / usb / core / message.c no kernel do Linux antes
5.6.8 tem um uso após livre, porque ocorre uma transferência sem um
referência (CVE-2020-12464).
Um problema foi descoberto no kernel do Linux antes da versão 5.6.7. xdp_umem_reg
em net / xdp / xdp_umem.c tem uma gravação fora dos limites (por um usuário com o
CAP_NET_ADMIN) devido à falta de validação de headroom
(CVE-2020-12659).
Um problema foi descoberto no kernel do Linux através da 5.6.11. sg_write
não possui uma chamada sg_remove_request em um determinado caso de falha
(CVE-2020-12770).
gadget_dev_desc_UDC_store em drivers / usb / gadget / configfs.c no Linux
o kernel através da versão 5.6.13 depende do kstrdup sem considerar o
possibilidade de um valor interno '\ 0', que permite que os atacantes acionem
uma leitura fora dos limites (CVE-2020-13143).
Para outras correções e alterações nesta atualização, consulte os registros de alterações referenciados.
Referências:
- https://bugs.mageia.org/show_bug.cgi?id=26661
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.7
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.8
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.9
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.10
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.11
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.12
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.13
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.14
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10711
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12464
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12659
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12770
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13143
SRPMS:
- 7 / core / kernel-linus-5.6.14-1.mga7
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário