От Debian Project публикуваха кръпки по сигурността за Linux ядрото при Debian 9 и Debian 10, които запушват опасни дупки в сигурността.
Актуализациите за Linux ядрото при Debian 9 „Stretch“ и Debian 10 „Buster“ запушват уязвимости, които са общо пет на брой – CVE-2019-14835, CVE-2019-15902, CVE-2019-14821, CVE-2019-15117 и CVE-2019-15118.
CVE-2019-14835 е открита от Peter Pi от Tencent Blade Team във vhost_net мрежовия бекенд драйвър за KVM хостове. Тази уязвимост позволява на атакуващ да поеме контрол над виртуалната машина, да причини проблеми с паметта или сривове и да придобие администраторски права върху хост машината.
CVE-2019-15902 е открита от Brad Spengler, която отново е отворила Spectre V1 уязвимостта в ptrace субсистемата на Linux ядрото в ptrace_get_debugreg() функцията.
CVE-2019-14821 е от типа race condition в начина, при който KVM хипервайзорът имплементира Coalesced MMIO операциите за писане. Тази уязвимост би могла да позволи на атакуващ да получи достъп до /dev/kvm, да повиши своите права и да предизвика проблеми в паметта или сривове на системата.
CVE-2019-15117 е проблем в открит в descriptor parsing кода на USB аудио драйвъра от Hui Peng и Mathias Payer и позволява на атакуващ да добавя USB, предизвиквайки системни сривове.
CVE-2019-15118 уязвимостта също е открита от Hui Peng и Mathias Payer и отново е в descriptor parsing кода на USB аудио драйвъра, но тук тя позволява придобиване на администраторски права от атакуващия или предизвикване на denial of service.
От The Debian Project съобщават, че вероятните щети от проблемите, открити от Hui Peng и Mathias Payer, са намалени при Debian 10 „Buster“ с архитектура 64-bit (amd64) и AArch64 (ARM64) от специален механизъм и в най-лошия случай атакуващият може само да срине системата.
Въпреки това разработчиците призовават всички потребители на Debian 9 „Stretch“ и Debian 10 „Buster“ да актуализират системите си възможно най-бързо, за да бъдат запушени гореспоменатите уязвимости. При Debian 9 „Stretch“ това е ядро с версия 4.9.189-3+deb9u1, а при Debian 10 „Buster“ – версия 4.19.67-2+deb10u1.
