FERRAMENTAS LINUX: Atualização de segurança do Mageia para o kernel, aviso Mageia 2021-0204

domingo, 2 de maio de 2021

Atualização de segurança do Mageia para o kernel, aviso Mageia 2021-0204

 



Confira !!

Esta atualização do kernel é baseada no upstream 5.10.33 e corrige pelo menos os seguintes problemas de segurança: Uma condição de corrida nos soquetes SCTP do kernel do Linux (net / sctp / socket.c) antes de 5.12-rc8 pode levar ao aumento de privilégios do kernel a partir do contexto de um

MGASA-2021-0204 - Pacotes de kernel atualizados corrigem vulnerabilidades de segurança


Data de publicação: 02 de maio de 2021

URL: https://advisories.mageia.org/MGASA-2021-0204.html

Tipo: segurança

Versões afetadas da Mageia: 7, 8

CVE: CVE-2021-23133,

     CVE-2021-29155


Esta atualização do kernel é baseada no upstream 5.10.33 e corrige pelo menos o

seguintes problemas de segurança:


Uma condição de corrida nos soquetes SCTP do kernel do Linux (net / sctp / socket.c) antes

5.12-rc8 pode levar ao escalonamento de privilégios do kernel a partir do contexto de um

serviço de rede ou um processo sem privilégios. Se sctp_destroy_sock for chamado

sem sock_net (sk) -> sctp.addr_wq_lock então um elemento é removido

a lista auto_asconf_splist sem qualquer bloqueio adequado. Isso pode ser

explorado por um invasor com privilégios de serviço de rede para escalar para

root ou do contexto de um usuário sem privilégios diretamente se um

BPF_CGROUP_INET_SOCK_CREATE está anexado, o que nega a criação de alguns

Soquete SCTP (CVE-2021-23133).


Um problema foi descoberto no kernel do Linux por meio de 5.11.x. kernel / bpf /

verifier.c realiza especulações indesejáveis ​​fora dos limites no ponteiro

aritmética, levando a ataques de canal lateral que derrotam as mitigações de Espectro

e obter informações confidenciais da memória do kernel. Especificamente para

sequências de operações aritméticas de ponteiro, a modificação do ponteiro

realizada pela primeira operação não é corretamente contabilizada quando

restringindo operações subsequentes (CVE-2021-29155).


Esta atualização também contém o seguinte:

- xtables-addons foi atualizado para 3.18 (apenas no Mageia 8)

- wireguard-tools foi atualizado para v1.0.20210424-1.mga8


Para outras correções upstream, consulte os changelogs referenciados.


Referências:

- https://bugs.mageia.org/show_bug.cgi?id=28856

- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.31

- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.32

- https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.33

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23133

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29155


SRPMS:

- 7 / core / kernel-5.10.33-1.mga7

- 7 / core / kmod-virtualbox-6.1.20-2.mga7

- 7 / core / kmod-xtables-addons-3.13-21.mga7

- 7 / core / wireguard-tools-1.0.20210424-1.mga7

- 8 / core / kernel-5.10.33-1.mga8

- 8 / core / kmod-virtualbox-6.1.20-3.mga8

- 8 / core / kmod-xtables-addons-3.18-1.mga8

- 8 / core / xtables-addons-3.18-1.mga8

- 8 / core / wireguard-tools-1.0.20210424-1.mga8




Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário