Canonical выпустила обновления безопасности для Ubuntu
Обновления исправляют более двадцати уязвимостей в ядре Linux.
Компания Canonical выпустила обновления безопасности для всех поддерживаемых версий Ubuntu, исправляющие более двух десятков уязвимостей в ядре Linux (в сериях Linux 4.18, Linux 4.15, Linux 4.4, и Linux 3.13). Обновления доступны для Ubuntu 18.10 (Cosmic Cuttlefish), Ubuntu 18.04 LTS (Bionic Beaver), Ubuntu 16.04 LTS (Xenial Xerus), Ubuntu 14.04 LTS (Trusty Tahr), а также для их официальных производных, таки как Kubuntu, Xubuntu, Lubuntu и пр.
В частности, патчи исправляют уязвимости раскрытия информации (CVE-2019-3459, CVE-2019-3460), затрагивающие реализацию Bluetooth в ядре Linux. С их помощью злоумышленник, находящийся в радиусе действия Bluetooth, может получить из ядра чувствительную информацию.
В подсистеме KVM ядра Linux также исправлена уязвимость использования памяти после высвобождения (CVE-2019-7221). При использовании виртуальной машины локальный атакующий может вызвать отказ в обслуживании и потенциально выполнить произвольный код на системе хоста.
Еще одна уязвимость использования памяти после высвобождения (CVE-2019-8912) была исправлена в реализации user-space API (af_alg). С ее помощью злоумышленник может локально вызвать отказ в обслуживании и потенциально выполнить произвольный код.
Уязвимость использования памяти после высвобождения (CVE-2019-8956) также была исправлена в реализации SCTP в ядре Linux. Уязвимость позволяет локальному атакующему вызвать отказ в обслуживании и потенциально выполнить произвольный код.
В реализации SNMP NAT исправлена уязвимость (CVE-2019-9162), позволяющая вызвать отказ в обслуживании и потенциально выполнить произвольный код. Проблема связана с недостаточной проверкой длины ASN.1.
Пользователям настоятельно рекомендуется как можно скорее установить обновления. Исправленные версии ядра доступны в официальных репозиториях Ubuntu для 32-разрядных и 64-разрядных систем, устройств Raspberry Pi 2, облачных сред, cloud environments, OEM-процессоров, процессоров Snapdragon, а также для Amazon Web Services, Google Cloud Platform, Microsoft Azure Cloud и Oracle Cloud.