Canonical ha rilasciato in questi giorni due USN (Ubuntu Security Notice) per avvisare gli utenti del rilascio di alcune patch di sicurezza ed aggiornamenti al kernel.  Le CVE coinvolte sono quattro:

• CVE-2017-7482: riguarda la gestione dei ticket Kerberos che creava problemi con la verifica dei metadata e che consentiva ad una potenziale minaccia di eseguire codice o far crashare il sistema tramite attacco DoS.
• CVE-2016-8405: tramite un overflow della memoria, un applicazione malevola avrebbe potuto accedere ad una porzione di dati sui quali non aveva alcun permesso. Per sfruttare questa vulnerabilità sarebbe stato necessario comunque compromettere un processo privileged.
• CVE-2017-1000365: problemi sulle restrizioni della dimensione di RLIMIT_STACK che avrebbe permesso l’esecuzione di codice arbitrario da parte di un attacker.
• CVE-2017-2618: problemi di SELinux nella gestione delle scritture su /proc/$PID/attr (security attributes), un processo con le permission process:setfscreate avrebbe potuto generare un kernel panic, dunque un DoS.

Le versioni che necessitano di chiudere questi buchi sono Ubuntu 14.04 LTS e 12.04 LTS e qualunque distro utilizzi il kernel 3.13.0, dunque anche le derivate come Kubuntu, Xubuntu, ecc. Per quanto riguarda le architetture, nessuna sfugge a questi bug, ergo tutti dovrebbero aggiornare immediatamente questi sistemi.

Nel dubbio: sudo apt-get update && sudo apt-get dist-upgrade

Elena Metelli

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.