A Canonical publicou novas atualizações de segurança do kernel Linux para suas séries de sistemas operacionais com suporte de longo prazo Ubuntu 22.04 LTS (Jammy Jellyfish) e Ubuntu 20.04 LTS (Focal Fossa). Esses pacotes devem resolver várias vulnerabilidades de segurança descobertas no kernel Linux 5.15 LTS.
Esta é a segunda atualização de segurança do kernel Linux que a Canonical lançou para os sistemas Ubuntu 22.04 LTS e 20.04 LTS desde que a empresa empurrou o kernel Linux 5.15 LTS da série Jammy Jellyfish para usuários do Focal Fossa executando o kernel HWE (Hardware Enablement).
A nova versão do kernel linux-image 5.15.0.46.46 já está disponível para usuários do Ubuntu 22.04 LTS e Ubuntu 20.04 LTS. Ela corrige o:
- CVE-2022-2585, uma falha encontrada na implementação de temporizadores POSIX do kernel Linux;
- CVE-2022-2586, uma vulnerabilidade use-after-free descoberto no subsistema netfilter;
- e CVE-2022-2588, um problema de segurança encontrado por Zhenpeng Lin na implementação do agendador de pacotes de rede.
Todas essas falhas podem permitir que um invasor local cause uma negação de serviço (travamento do sistema) ou execute código arbitrário.
Usuários do Ubuntu 22.04 e 20.04 LTS recebem novas atualizações do kernel
Além disso, a nova atualização de segurança do kernel também corrige CVE-2022-29900 e CVE-2022-29901, dois importantes problemas de segurança descobertos por Johannes Wikner e Kaveh Razavi em alguns AMD 64 bits (x86_64) e Intel 64 bits (x86_64) processadores que podem permitir que um invasor local exponha informações confidenciais.
A nova atualização do kernel também está disponível para sistemas Amazon Web Services (AWS), sistemas Google Cloud Platform (GCP), sistemas Google Container Engine (GKE), sistemas em nuvem IBM, sistemas Oracle Cloud, sistemas Microsoft Azure Cloud, ambientes em nuvem e Raspberry Sistemas Pi.
Esses tipos de kernel incluem as correções de segurança mencionadas acima, bem como correções para mais três problemas de segurança,
- CVE-2022-28893, uma vulnerabilidade de uso posterior descoberta por Felix Fu na implementação Sun RPC do kernel Linux. Ela pode permitir que um invasor remoto para causar uma negação de serviço (travamento do sistema) ou executar código arbitrário.
- O mesmo vale para CVE-2022-34918, uma falha descoberta por Arthur Mongodin no subsistema netfilter que poderia permitir que um invasor local escalasse privilégios em determinadas situações;
- bem como CVE-2022-1679, uma vulnerabilidade use-after-free encontrada no driver de dispositivo sem fio Atheros ath9k que pode permitir que um invasor local cause uma negação de serviço (travamento do sistema) ou possivelmente execute código arbitrário.
Atualização deve ser feita o quanto antes
A Canonical pede a todos os usuários que atualizem os pacotes do kernel em seus sistemas Ubuntu 22.04 LTS (Jammy Jellyfish) e Ubuntu 20.04 LTS (Focal Fossa) executando o kernel Linux 5.15 LTS para as novas versões disponíveis nos arquivos principais.
Para atualizar suas instalações do Ubuntu, execute o comando no Terminal:
sudo apt update && sudo apt full-upgrade
Outra opção é usar o utilitário gráfico Software Updater.