Em uma medida emergente para resolver a mais nova vulnerabilidade da Intel, a Canonical acaba de lançar para o ubuntu e sabores derivados um novo conjunto de atualizações importantes de segurança do kernel. Serão beneficiadas todas as versões suportadas do Ubuntu e isso deve mitigar as recentes vulnerabilidades do Intel SRBDS/CrossTalk além de outras falhas.
A Canonical já lançou outro dia uma nova versão do firmware do microcódigo intel para mitigar as vulnerabilidades mais recentes da Intel. No entanto, agora também publicou novas versões do kernel Linux para todas as versões suportadas do Ubuntu, incluindo Ubuntu 20.04 LTS, Ubuntu 19.10, Ubuntu 18.04 LTS e Ubuntu 16.04 LTS.
Além de atenuar a vulnerabilidade Intel SRBDS/CrossTalk (CVE-2020-0543), as novas atualizações de segurança do kernel Linux corrigem as condições de corrida (CVE-2020-12114) descobertas por Piotr Krysiuk na implementação do sistema de arquivos, que permite que um invasor local cause negação de serviço (falha do sistema).
Ubuntu ganha importantes atualizações de segurança no Kernel
Também é abordada uma falha (CVE-2020-0067) descoberta na implementação do sistema de arquivos F2FS do kernel Linux. Ela permitia a um invasor local expor informações confidenciais (memória do kernel). Do mesmo modo, foi corrigida uma vulnerabilidade (CVE-2020-10751) descoberta por Dmitry Vyukov no Gancho de segurança do SELinux netlink. Isso pode permitir que um invasor privilegiado ignore as restrições do SELinux netlink. O último afeta apenas o kernel Linux 5.4 do Ubuntu 20.04 LTS e o Linux 4.15 do Ubuntu 18.04 LTS e Ubuntu 16.04 LTS.
Dois outros problemas de segurança foram corrigidos, a saber:
- uma falha de use-after-free (CVE-2020-12464) na implementação de dispersão e coleta do susbsystem USB;
- e uma vulnerabilidade na implementação do USB susbsystem’s scatter-gather (CVE-2020-12659) no soquete XDP.
Ambos poderiam permitir que atacantes (um atacante fisicamente próximo no primeiro caso e um atacante local com o recurso CAP_NET_ADMIN no segundo caso) causassem uma negação de serviço (falha no sistema) ou possivelmente executassem códigos arbitrários.
No kernel Linux 5.0 dos sistemas Ubuntu 18.04 LTS em execução nos sistemas Google Container Engine (GKE) ou usando o kernel OEM e o kernel Linux 4.15 dos sistemas Ubuntu 18.04 LTS e Ubuntu 16.04 LTS, a nova atualização de segurança também corrige uma vulnerabilidade (CVE- 2020-1749 ) descoberta por Xiumei Mu na implementação do IPSec. A falha pode permitir que um invasor exponha informações confidenciais.
Por fim, no kernel Linux 4.4 dos sistemas Ubuntu 16.04 LTS, foram corrigidos:
- falha (CVE-2019-19319) descoberta na implementação do sistema de arquivos EXT4 que poderia permitir que um invasor local causasse uma negação de serviço (falha no sistema) ou possivelmente executar código arbitrário;
- uma condição de corrida (CVE-2020-12769) descoberta no driver do controlador do DesignWare SPI que pode permitir que um invasor local cause uma negação de serviço (falha no sistema) e um estouro de número inteiro;
- e (CVE-2020-12826) na implementação de sinalização de saída que pode permitir que um invasor local cause uma negação de serviço (falha arbitrária no aplicativo).
Além das correções das falhas no Kernel do Ubuntu, pacotes da Intel precisam ser instalados imediatamente
A Canonical observa o fato de que a atenuação da vulnerabilidade Intel SRBDS/CrossTalk exige que você instale também a atualização mais recente do microcódigo do processador Intel, por meio do pacote intel-microcode dos repositórios ou do fabricante do sistema.
Recomenda-se aos usuários que atualizem seus sistemas o mais rápido possível para as novas versões do kernel Linux. Elas estão agora disponíveis nos repositórios de software estáveis de todas as versões suportadas do Ubuntu. Para isso, basta fazer uma atualização padrão do sistema por meio do Terminal com os seguintes comandos:
Assim, instalará os novos kernels. No entanto, você precisará reiniciar os computadores para reduzir com êxito todas as vulnerabilidades. Da mesma forma, uma atualização de segurança do Live Patch do kernel Linux também está disponível. Ela serve para os sistemas Ubuntu 20.04 LTS, Ubuntu 18.04 LTS e Ubuntu 16.04 LTS. Portanto, o Livepatch Service da Canonical deve ser usado para atualizações de kernel sem reinicialização.
9to5 Linux