Para manter a tradição, a Canonical publicou novas atualizações do kernel Linux para todos os sistemas Ubuntu LTS ainda com suporte para resolver um total de 19 vulnerabilidades de segurança.
As novas atualizações do kernel do Ubuntu estão disponíveis apenas para sistemas Ubuntu com suporte de longo prazo, incluindo Ubuntu 22.04 LTS (Jammy Jellyfish), Ubuntu 20.04 LTS (Focal Fossa) e Ubuntu 18.04 LTS (Bionic Beaver).
Essas atualizações do kernel do Ubuntu estão aqui para corrigir até 19 vulnerabilidades, incluindo CVE-2022-41849 e CVE-2022-41850, duas condições de corrida descobertas nos drivers Roccat HID e SMSC UFX USB que podem levar a vulnerabilidades de uso após a liberação. Isso afeta todos os sistemas Ubuntu LTS mencionados acima e pode permitir que invasores locais e fisicamente próximos causem uma negação de serviço (travamento do sistema) ou executem código arbitrário.
Novas atualizações do kernel do Ubuntu Linux corrigem 19 vulnerabilidades
Três outras vulnerabilidades afetaram os sistemas Ubuntu 22.04 LTS e Ubuntu 20.04 LTS executando o kernel Linux 5.15 LTS, bem como os sistemas Ubuntu 20.04 LTS e Ubuntu 18.04 LTS executando o kernel Linux 5.4 LTS.
Estes são CVE-2022-3640, uma vulnerabilidade use-after-free na pilha Bluetooth que pode permitir que um invasor local cause uma negação de serviço (falha no sistema) ou execute código arbitrário, CVE-2022-3628, uma falha de segurança no o driver Broadcom FullMAC USB WiFi que pode permitir que um invasor fisicamente próximo crie um dispositivo USB malicioso, causando uma negação de serviço (falha do sistema) ou executando código arbitrário, e CVE-2022-42895, uma falha na implementação do Bluetooth L2CAP que pode permitir um invasor fisicamente próximo para expor informações confidenciais (memória do kernel).
Os sistemas Ubuntu 22.04 LTS e Ubuntu 20.04 LTS executando o kernel Linux 5.15 LTS também foram afetados pelo CVE-2022-3623, uma condição de corrida encontrada na implementação do hugetlb que pode permitir que um invasor local cause uma negação de serviço (falha do sistema) ou exponha informações (memória do kernel), bem como CVE-2022-3543, um vazamento de memória descoberto na implementação do soquete do domínio Unix que pode permitir que um invasor local cause uma negação de serviço (exaustão da memória).
O mesmo vale para CVE-2022-3619, um problema de segurança encontrado na implementação do Bluetooth HCI que pode permitir que um invasor cause uma negação de serviço (exaustão da memória) e CVE-2023-0590, uma condição de corrida descoberta na implementação do qdisc que pode permitir que um invasor local cause uma negação de serviço (travamento do sistema) ou execute código arbitrário.
Mais correções
Além disso, o CVE-2022-47940 foi corrigido para os sistemas Ubuntu 22.04 LTS e Ubuntu 20.04 LTS executando o kernel Linux 5.15 LTS. Esta é uma falha de segurança descoberta por Arnaud Gatignol, Quentin Minster, Florent Saudel e Guillaume Teissier na implementação KSMBD do kernel do Linux, que pode permitir que um invasor autenticado cause uma negação de serviço (travamento do sistema), exponha informações confidenciais (memória do kernel), ou executar código arbitrário.
Os sistemas Ubuntu 20.04 LTS e Ubuntu 18.04 LTS executando o kernel Linux 5.4 LTS, bem como os sistemas Ubuntu 18.04 LTS executando o kernel Linux 4.15 também foram afetados pelo CVE-2022-3649, uma vulnerabilidade use-after-free descoberta por Khalid Masum no arquivo NILFS2 implementação do sistema, que pode permitir que um invasor local cause uma negação de serviço ou execute um código arbitrário.
As novas atualizações do kernel do Ubuntu também corrigem oito outras falhas de segurança que afetam apenas os sistemas Ubuntu 18.04 LTS executando o kernel Linux 4.15. Isso inclui CVE-2022-20369, uma vulnerabilidade de gravação fora dos limites encontrada na implementação do Video for Linux 2 (V4L2), CVE-2022-2663, uma falha descoberta por David Leadbeater na implementação de rastreamento do protocolo netfilter IRC, bem como como CVE-2022-29900 e CVE-2022-29901, duas vulnerabilidades descobertas por Johannes Wikner e Kaveh Razavi nas proteções do kernel do Linux contra ataques especulativos de injeção de ramificação para processadores AMD e Intel x86-64 que podem permitir que um invasor local exponha informações confidenciais .
O mesmo vale para CVE-2022-43750, um problema de segurança descoberto no componente de monitoramento USB (usbmon), CVE-2022-3646, uma falha encontrada na implementação do sistema de arquivos NILFS2, CVE-2022-39842, uma vulnerabilidade de estouro de número inteiro descoberta por Hyunwoo Kim no driver gráfico PXA3xx e CVE-2022-26373, uma falha que afeta alguns processadores Intel com eIBRS (Enhanced Indirect Branch Restricted Speculation). Isso pode permitir que invasores locais exponham informações confidenciais, causem uma negação de serviço (falha no sistema ou esgotamento da memória) ou executem código arbitrário.
Atualizar imediatamente
A Canonical pede a todos os usuários do Ubuntu LTS que atualizem suas instalações o mais rápido possível para as novas versões do kernel:
- linux-image 5.15.0-60.66 para Ubuntu 22.04 LTS;
- linux-image 5.15.0-60.66~20.04.1;
- e linux-image 5.4.0.139.137para Ubuntu 20.04 LTS;
- bem como linux-image 4.15.0.204.187para Ubuntu 18.04 LTS.
Para atualizar seus sistemas, execute o comando no aplicativo Terminal ou use o utilitário Software Updater:
sudo apt update && sudo apt full-upgradeLembre-se de reiniciar as instalações após instalar as novas versões do kernel, bem como reconstruir e reinstalar quaisquer módulos de kernel de terceiros que você possa ter instalado.
