Mais uma importante atualização acaba de chegar para os usuários do Ubuntu 22.10 e que corrige pelo menos 9 falhas de segurança do sistema operacional. A recomendação da Canonical, no anúncio de hoje é que os usuários apliquem as mudanças o mais rapidamente possível.
A nova atualização de segurança do kernel para o Ubuntu 22.10 corrige CVE-2022-2196. Esta é uma vulnerabilidade em que a implementação do KVM VMX falhou ao lidar com o isolamento indireto de previsão de ramificação entre as máquinas virtuais L1 e L2. Assim, permite que um invasor em uma máquina virtual convidada exponha informações confidenciais do sistema operacional host ou outras máquinas virtuais convidadas.
Também corrigidos estão o CVE-2022-42328 e o CVE-2022-42329. Estas são duas condições de corrida descobertas no driver de back-end da rede Xen que podem permitir que um invasor cause uma negação de serviço (impasse do kernel). Já o CVE-2023-0266 é uma vulnerabilidade use-after-free descoberta no subsistema ALSA (Advanced Linux Sound Architecture) que pode permitir que um invasor local trave o sistema causando uma negação de serviço.
Além disso, a nova atualização de segurança do kernel do Ubuntu 22.10 aborda a CVE-2023-0469, uma vulnerabilidade use-after-free descoberta no subsistema io_uring, e CVE-2023-1195, outra vulnerabilidade user-after-free encontrada no sistema de arquivos de rede CIFS . Ambas as vulnerabilidades podem permitir que um invasor local cause uma negação de serviço (travamento do sistema) ou execute código arbitrário.
Ubuntu 22.10 atualiza segurança do kernel Linux e corrige 9 falhas
Uma condição de corrida foi corrigida nesta atualização do kernel, ou seja, CVE-2022-4382, descoberta por Gerald Lee na implementação do sistema de arquivos USB Gadget, que pode levar a uma vulnerabilidade use-after-free em algumas situações e permitir que um invasor local trave o sistema causando uma negação de serviço ou possivelmente executando um código arbitrário.
Por último, mas não menos importante, a nova atualização de segurança do kernel do Ubuntu 22.10 corrige o CVE-2023-0045, uma falha descoberta por José Oliveira e Rodrigo Branco na implementação prctl syscall que fazia o kernel falhar na proteção contra ataques indiretos de previsão de ramificação e permitia um invasor local para expor informações confidenciais, bem como CVE-2023-23559 , uma vulnerabilidade de estouro de número inteiro encontrada no driver USB RNDIS que pode permitir que um invasor local com acesso físico cause uma negação de serviço (travamento do sistema) ou execute código arbitrário conectando-o um dispositivo USB malicioso.
A Canonical pede a todos os usuários do Ubuntu 22.10 (Kinetic Kudu) que atualizem seus sistemas o mais rápido possível para linux-image 5.19.0.38.34o kernel para sistemas de 64 bits ou linux-image-raspi 5.19.0-1015.22para sistemas Raspberry Pi. Depois de instalar as novas versões do kernel, reinicie o sistema, bem como reconstrua e reinstale quaisquer módulos de kernel de terceiros que você possa ter instalado.