FERRAMENTAS LINUX: Atualização de segurança do Mageia para o kernel Linux, aviso Mageia 2020-0228

segunda-feira, 25 de maio de 2020

Atualização de segurança do Mageia para o kernel Linux, aviso Mageia 2020-0228




Confira !



Esta atualização é baseada no kernel 5.6.14 upstream e corrige os seguintes problemas de segurança: Uma falha de desreferência de ponteiro NULL foi encontrada no subsistema SELinux do kernel Linux nas versões anteriores à 5.7. Essa falha ocorre durante a importação do
MGASA-2020-0228 - Pacotes kernel-linus atualizados corrigem vulnerabilidades de segurança

Data de publicação: 24 de maio de 2020
URL: https://advisories.mageia.org/MGASA-2020-0228.html
Tipo: segurança
Lançamentos da Mageia afetados: 7
CVE: CVE-2020-10711,
     CVE-2020-12464,
     CVE-2020-12659,
     CVE-2020-12770,
     CVE-2020-13143

Esta atualização é baseada no kernel 5.6.14 upstream e corrige pelo menos
os seguintes problemas de segurança:

Uma falha de desreferência de ponteiro NULL foi encontrada no SELinux do kernel Linux
subsistema nas versões anteriores à 5.7. Essa falha ocorre durante a importação do
O bitmap da categoria do protocolo CIPSO (Commercial IP Security Option)
o bitmap extensível do SELinux através da rotina 'ebitmap_netlbl_import'.
Ao processar a tag de bitmap restrito do CIPSO no diretório
rotina 'cipso_v4_parsetag_rbm', define o atributo de segurança como
indicam que o bitmap da categoria está presente, mesmo que não tenha sido
alocado. Esse problema leva a um problema de desreferenciação de ponteiro NULL enquanto
importando o mesmo bitmap de categoria para o SELinux. Essa falha permite uma
usuário de rede remoto para travar o kernel do sistema, resultando em uma negação
de serviço (CVE-2020-10711).

usb_sg_cancel em drivers / usb / core / message.c no kernel do Linux antes
5.6.8 tem um uso após livre, porque ocorre uma transferência sem um
referência (CVE-2020-12464).

Um problema foi descoberto no kernel do Linux antes da versão 5.6.7. xdp_umem_reg
em net / xdp / xdp_umem.c tem uma gravação fora dos limites (por um usuário com o
CAP_NET_ADMIN) devido à falta de validação de headroom
(CVE-2020-12659).

Um problema foi descoberto no kernel do Linux através da 5.6.11. sg_write
não possui uma chamada sg_remove_request em um determinado caso de falha
(CVE-2020-12770).

gadget_dev_desc_UDC_store em drivers / usb / gadget / configfs.c no Linux
o kernel através da versão 5.6.13 depende do kstrdup sem considerar o
possibilidade de um valor interno '\ 0', que permite que os atacantes acionem
uma leitura fora dos limites (CVE-2020-13143).

Para outras correções e alterações nesta atualização, consulte os registros de alterações referenciados.

Referências:
- https://bugs.mageia.org/show_bug.cgi?id=26661
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.7
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.8
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.9
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.10
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.11
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.12
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.13
- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.6.14
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10711
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12464
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12659
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12770
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13143

SRPMS:
- 7 / core / kernel-linus-5.6.14-1.mga7

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário