Canonical публикуваха актуализации по сигурността за Ubuntu, за запушване на DoS уязвимости.
От Canonical публикуваха кръпки по сигурността за различни версии на Linux дистрибуцията Ubuntu, запушващи уязвимости, които могат да бъдат използвани за Denial of Service (DoS) атаки, при които може да се разкрие информация от паметта на Linux ядрото.
Първата уязвимост USN-4320-1 представлява дупка в сигурността, която засяга Ubuntu 16.04 LTS и Ubuntu 14.04 с удължена поддръжка (ESM). Ако бъде експлоатирана уязвимостта, тя може да бъде използвана за сриване на системата или за показване на важна информация.
USN-4318-1 е уязвимост в Linux ядрото, която засяга Ubuntu 16.04 LTS и Ubuntu 18.04 LTS. От Canonical са поправили няколко проблема в ядрото, при които чрез локален достъп може да се предизвика срив на системата или показване на важна информация чрез DoS атака. Те са както следва:
- Разработчикът Al Viro е открил, че vfs слоят в Linux ядрото има „use- after-free“ уязвимост, която атакуващ с локален достъп може да използва за DoS атака (CVE-2020-8428).
- Gustavo Romero и Paul Mackerras са открили, че в KVM имплементацията на Linux ядрото за PowerPC процесорите не запазва правилно състоянието на госта отделено от състоянието на хоста, което позволява на локален атакуващ в KVM госта да използва това и да причини Denial of Service срив на хоста (CVE-2020-8834).
- От своя страна разработчикът Shijie Luo е открил, че ext4 файловата имплементация в Linux ядрото не проверява по правилен начин твърде големите журнали. Атакуващ може да използва това, за да създаде зловреден ext4 образ, който, когато бъде зареден, може да предизвика Denial of Service (soft lockup) атака (CVE-2020-8992).
Уязвимостта USN-4319-1 засяга Ubuntu 19.10 и Ubuntu 18.04 LTS и също може да предизвика DoS атака при експлоатирането ѝ. За нея от Canonical обясняват, че е открито, че IPMI message handler имплементацията в Linux ядрото не преразпределя правилно паметта при определени обстоятелства, което може да се използва за Denial of Service (kernel memory exhaustion) атака (CVE-2019-19046).
Както винаги при Linux актуализациите са налични веднага и всеки един потребител бива съветван да актуализира възможно най-бързо. Това може да бъде направено само с натискането на един бутон от мениджъра за актуализации в Ubuntu или през терминал с командата:
sudo apt-get update && sudo apt-get upgrade -y