Canonical为所有受支持的Ubuntu Linux操作系统发布了新的重要Linux内核安全更新,以解决多达28个安全漏洞。
影响Ubuntu 19.04(Disco Dingo),Ubuntu 18.04 LTS(Bionic Beaver)和Ubuntu 16.04 LTS(Xenial Xerus)的Linux 5.0,4.15和4.4内核,这个新修复的最关键漏洞 (CVE-2019-10638)安全更新由Amit Klein和Benny Pinkas在Linux内核中发现,随机化为无连接网络协议生成的IP ID值,这可能允许远程攻击者跟踪特定的Linux设备。
安全更新还解释了Amit Klein和Benny Pinkas在Linux内核中的另一个关键漏洞 (CVE-2019-10638),但仅影响了Ubuntu 18.04 LTS(Bionic Beaver)和Ubuntu 16.04 LTS中使用的Linux 4.15内核( Xenial Xerus)系统。这可能允许远程攻击者利用Linux内核中的另一个漏洞,因为无连接网络协议的实现可能会暴露内核地址的位置。
其他两个重要问题也得到了解决,惠鹏和Mathias Payer在Linux内核的Option USB高速驱动程序中发现了一个安全漏洞 (CVE-2018-19985),以及英特尔Wi-Fi中的一个问题 (CVE-2019-0136)验证某些隧道直接链路设置(TDLS)时的设备驱动程序,这两者都允许物理上邻近的攻击者导致拒绝服务(DoS攻击)并使系统崩溃或断开Wi-Fi连接。
在这个主要的新Linux内核安全更新中修复的其他问题中,我们可以提到软盘驱动程序中的两个问题导致被零除或缓冲区重写,virtio网络驱动程序和CFS Linux内核进程调度程序中的无限循环漏洞, LSI Logic MegaRAID驱动程序中的空指针解除引用漏洞,以及影响Linux内核的蓝牙UART实现和GTCO平板电脑输入驱动程序的问题。
还解决了Linux内核的DesignWare USB3 DRD控制器设备驱动程序中的竞争条件,QLogic QEDI iSCSI Initiator驱动程序中的越界读取,Raremono AM / FM / SW无线电设备驱动程序中的错误,双重自由错误在USB Rio 500设备驱动程序中,以及ALSA(高级Linux声音架构)子系统,USB YUREX设备驱动程序,CPiA2 video4linux设备驱动程序和Softmac USB Prism54设备驱动程序中的竞争条件。
敦促用户立即更新他们的系统
Linux内核的Appletalk实现中发现的use-after-free漏洞,以及Siano USB MDTV接收器设备驱动程序,Line 6 POD USB设备驱动程序,蓝牙协议BR/EDR规范和CAN实现中的问题也在此处得到解决安全更新。因此,敦促所有Ubuntu用户尽快将其安装更新到新的Linux内核版本。
使用Linux 5.0 HWE(硬件启用)内核的Ubuntu 19.04和Ubuntu 18.04.3 LTS用户必须更新到linux-image 5.0.0-27.28,使用Linux 4.15 HWE内核的Ubuntu 18.04 LTS和Ubuntu 16.04.6 LTS用户需要将他们的系统更新为linux-image 4.15.0-60.67。使用Linux 4.4内核的Ubuntu 16.04 LTS用户也必须更新到linux-image 4.4.0-161.189。