Canonical 為長期支援(LTS)的 Ubuntu 18.04 和 16.04 作業系統提供了最新的 Linux 核心安全更新。
Bionic Beaver 和 Xenial Xerus 使用者可藉助實時補丁服務(Livepatch Service)實施免重啟的作業系統核心更新。
(題圖 via Softpedia)
本次實時補丁主要修復了五個安全問題,首先是 CVE-2019-11815 競爭條件漏洞。
其可能導致 Linux 核心的可靠資料包套接字(RDS)協議被攻擊者利用,導致系統崩潰或執行任意程式碼。
其次是影響 ARM CPU 的 CVE-2019-2054 缺陷,攻擊者可藉此繞過 seccomp 限制。還有 Linux 核心的 EXT4 檔案系統中的一個缺陷:
CVE-2019-11833 和 CVE-2019-11884 會使本地敏感資訊(核心記憶體)暴露給攻擊者,因為 Linux 核心在某些情況下無法正確清零記憶體、或驗證 NULL 終止字串。
需要指出的是,本次核心實時補丁中包含了一個修復程式,修復了在 Vasiliy Kulikov 在 Linux 核心的藍芽堆疊中發現的有八年曆史的 CVE-2011-1079 漏洞:
該缺陷或導致本地攻擊者向系統發起拒絕服務(DoS)攻擊,導致系統崩潰或核心堆疊記憶體洩露,對使用者的隱私造成了一定的威脅。
Canonical 為長期支援(LTS)的 Ubuntu 18.04 和 16.04 作業系統提供了最新的 Linux 核心安全更新。
Bionic Beaver 和 Xenial Xerus 使用者可藉助實時補丁服務(Livepatch Service)實施免重啟的作業系統核心更新。
(題圖 via Softpedia)
本次實時補丁主要修復了五個安全問題,首先是 CVE-2019-11815 競爭條件漏洞。
其可能導致 Linux 核心的可靠資料包套接字(RDS)協議被攻擊者利用,導致系統崩潰或執行任意程式碼。
其次是影響 ARM CPU 的 CVE-2019-2054 缺陷,攻擊者可藉此繞過 seccomp 限制。還有 Linux 核心的 EXT4 檔案系統中的一個缺陷:
CVE-2019-11833 和 CVE-2019-11884 會使本地敏感資訊(核心記憶體)暴露給攻擊者,因為 Linux 核心在某些情況下無法正確清零記憶體、或驗證 NULL 終止字串。
需要指出的是,本次核心實時補丁中包含了一個修復程式,修復了在 Vasiliy Kulikov 在 Linux 核心的藍芽堆疊中發現的有八年曆史的 CVE-2011-1079 漏洞:
該缺陷或導致本地攻擊者向系統發起拒絕服務(DoS)攻擊,導致系統崩潰或核心堆疊記憶體洩露,對使用者的隱私造成了一定的威脅。