Debian Buster corrige 11 falhas de segurança no Kernel

Debian Buster corrige 11 falhas de segurança no Kernel
debian

Depois do Ubuntu, chegou a vez do Debian Buster aderir aos patches de atualizações importantes e corrige 11 falhas de segurança no kernel. Além disso, a distribuição também corrigiu bugs. Como sabemos, o Debian não traz os aplicativos mais recentes em sua versão estável. No entanto, sempre se empenha para deixar o sistema o mais seguro possível. Sendo assim, o Projeto Debian lançou uma nova atualização de segurança do kernel Linux para o Debian 10 estável.

A nova atualização do kernel Linux para Debian 10 corrige 11 vulnerabilidades de segurança, incluindo CVE-2020-28374, uma falha crítica descoberta por David Disseldorp na implementação de destino LIO SCSI do kernel Linux. Ela permite a um atacante remoto expor informações confidenciais ou modificar dados. Ele precisa ter acesso a pelo menos um iSCSI LUN em um ambiente de backstore múltiplo.

Então, o mesmo vale para CVE-2020-36158, uma falha de estouro de buffer prsente no driver mwifiex Wi-Fi. Assim, atacantes remotos podem executar código arbitrário por meio de um valor SSID longo.

Debian Buster corrige 11 falhas de segurança no Kernel. Veja as demais vulnerabilidades:

CVE-2021-20177 é uma falha descoberta na implementação de correspondência de string do kernel Linux dentro de um pacote. Ela pode permitir que um usuário com privilégios de root ou CAP_NET_ADMIN cause um kernel panic ao inserir regras de iptables.

Do mesmo modo, encontramos o CVE-2020-27825, uma falha de uso pós-livre encontrada na lógica de redimensionamento do buffer de anel do ftrace. Ela pode resultar em negação de serviço ou vazamento de informações.

Duas outras falhas de uso pós-livre foram corrigidas. São elas:

  • CVE-2020-29569, descoberto por Olivier Benjamin e Pawel Wieczorkiewicz no kernel Linux por meio de 5.10.1, permitindo que um convidado com comportamento incorreto acione uma falha do dom0 conectando e desconectando continuamente um bloco frontend;
  • CVE-2021-3347, descobertos no kernel do Linux até 5.10.11 e permitindo que um usuário sem privilégios bloqueie o kernel ou aumente seus privilégios.

Graças a Jann Horn do Google Project Zero, duas outras falhas (CVE-2020-29660 e CVE-2020-29661) que causam um problema de inconsistência de bloqueio no subsistema tty do kernel Linux até a versão 5.9.13 foram corrigidas.

Por outro lado, o CVE-2020-29660 permite que um invasor local monte um ataque de leitura após livre contra o TIOCGSID. Já o CVE-2020-29661 pode ser usado por um invasor local para corrupção de memória ou aumento de privilégios.

Por último, a nova atualização de segurança do kernel no Debian Buster aborda CVE-2020-27815. Esta é uma falha descoberta no código do sistema de arquivos JFS. Ela poderia permitir que um invasor local com a capacidade de definir atributos estendidos pudesse causar uma negação de serviço.

CVE-2020-29568, um problema descoberto por Michael Kurth e Pawel Wieczorkiewicz no Xen até 4.14.x, permite que um convidado acione um OOM no back-end atualizando um caminho monitorado

E a CVE-2020-27830, uma falha de desreferência de ponteiro NULL descoberta por Shisong Qin no driver principal do leitor de tela Speakup.

Atualizem o quanto antes

O Projeto Debian pede que todos os usuários do Debian Linux 10 atualizem os pacotes do kernel em suas instalações para a versão 4.19.171-2 o mais rápido possível.

Para atualizar suas instalações, simplesmente execute os comandos em um terminal:

sudo apt update && sudo apt full-upgrade
 

9to5 Linux