Quem também aplicou uma atualização no Kernel foi a distribuição Debian 10 Buster Linux. No entanto, neste caso, foram resolvidas cinco vulnerabilidades descobertas recentemente por vários pesquisadores de segurança. A informação está no Aviso de Segurança Debian DSA-4667-1. A nova atualização de segurança do kernel corrige uma falha (CVE-2020-2732) descoberta por Paulo Bonzini na implementação do KVM (Kernel-Based Virtual Machine) para CPUs Intel. Isso poderia permitir um Convidado L2 para causar uma negação de serviço, vazar informações confidenciais do convidado L1 ou aumentar seus privilégios.
A atualização do kernel também corrige uma vulnerabilidade (CVE-2020-10942) descoberta no driver vhost_net do kernel do Linux, que pode permitir que um invasor local com acesso ao /dev/vhost-net cause corrupção na pilha, criando chamadas de sistema. Isso pode levar a uma negação de serviço (falha no sistema) e até a uma escalada de privilégios.
Há também uma correção para uma falha de gravação fora dos limites baseada em pilha (CVE-2020-11565) descoberta por Entropy Moe no sistema de arquivos de memória compartilhada (tmpfs). Isso poderia permitir que um invasor local aumentasse seus privilégios. Além disso, ele poderia causar uma negação de serviço (falha no sistema) se os namespaces de usuário estivessem ativados no sistema.
Debian 10 Buster corrige 5 vulnerabilidades no Kernel
Também está corrigida uma vulnerabilidade de uso (CVE-2020-8428) encontrada na camada VFS. Ela também permite que um invasor local cause uma negação de serviço (falha no sistema) ou obtenha informações confidenciais da memória do kernel, e uma condição de corrida (CVE-2020-11884) encontrada no código de gerenciamento de memória do IBM Z (arquitetura s390x), que poderia permitir que um invasor local aumentasse seus privilégios.
Esses dois problemas foram descobertos por Al Viro, e o último também foi corrigido na versão mais recente do Ubuntu 20.04 LTS da Canonical, bem como nos sistemas Ubuntu 19.10, Ubuntu 18.04 LTS e Ubuntu 16.04 LTS.
O Projeto Debian recomenda a todos os usuários do Debian GNU/Linux 10 “Buster” que atualizem os pacotes do kernel. A versão corrigida é a 4.19.98-1 + deb10u1. Isso deve ser feito o mais rápido possível. Depois, é preciso reiniciar o sistema para aplicar as mudanças.
9to5 Linux