E o Projeto Debian lançou uma nova atualização de segurança do kernel para corrigir várias vulnerabilidades e alguns bugs.
Apesar de não entregar aplicativos muitos recentes em sua versão estável, o Debian sempre traz as últimas correções do kernel para deixar o sistema sempre o mais seguro possível.
Agora, o Projeto Debian lançou uma nova atualização de segurança do kernel Linux para sua série de sistema operacional Debian 10 estável para resolver várias vulnerabilidades e alguns bugs.
Debian lançou uma nova atualização de segurança do kernel
A nova atualização do kernel Linux para Debian 10 chega para corrigir nada menos que 11 vulnerabilidades de segurança, incluindo CVE-2020-28374, uma falha crítica descoberta por David Disseldorp na implementação de destino LIO SCSI do kernel Linux, permitindo um atacante remoto com acesso a pelo menos um iSCSI LUN em um ambiente de backstore múltiplo para expor informações confidenciais ou modificar dados.
O mesmo vale para CVE-2020-36158, uma falha de estouro de buffer descoberta no driver mwifiex Wi-Fi que pode permitir que atacantes remotos executem código arbitrário por meio de um valor SSID longo.
Também corrigido nesta nova atualização de segurança do kernel Debian está CVE-2021-20177, uma falha descoberta na implementação de correspondência de string do kernel Linux dentro de um pacote, que pode permitir que um usuário privilegiado com privilégios de root ou CAP_NET_ADMIN cause um pânico no kernel ao inserir regras de iptables, bem como CVE-2020-27825, uma falha de uso pós-livre encontrada na lógica de redimensionamento do buffer de anel do ftrace, que pode resultar em negação de serviço ou vazamento de informações.
Duas outras falhas de uso pós-livre foram corrigidas, a saber CVE-2020-29569, descoberto por Olivier Benjamin e Pawel Wieczorkiewicz no kernel do Linux por meio de 5.10.1, permitindo que um convidado com comportamento incorreto acione uma falha do dom0 conectando e desconectando continuamente um bloco frontend e CVE-2021-3347, descobertos no kernel do Linux até 5.10.11 e permitindo que um usuário sem privilégios bloqueie o kernel ou aumente seus privilégios.
Graças a Jann Horn do Google Project Zero, duas outras falhas (CVE-2020-29660 e CVE-2020-29661) que causam um problema de inconsistência de bloqueio no subsistema tty do kernel do Linux até a versão 5.9.13 foram corrigidas na nova atualização do kernel para o Debian Buster.
Enquanto o CVE-2020-29660 permite que um invasor local monte um ataque de leitura após livre contra o TIOCGSID, o CVE-2020-29661 pode ser usado por um invasor local para corrupção de memória ou aumento de privilégios.
Por último, mas não menos importante, a nova atualização de segurança do kernel Debian Buster aborda CVE-2020-27815, uma falha descoberta no código do sistema de arquivos JFS que poderia permitir que um invasor local com a capacidade de definir atributos estendidos para causar uma negação de serviço, CVE-2020-29568, um problema descoberto por Michael Kurth e Pawel Wieczorkiewicz no Xen até 4.14.x permitindo que um convidado acione um OOM no back-end atualizando um caminho monitorado, bem como CVE-2020-27830, uma falha de desreferência de ponteiro NULL descoberta por Shisong Qin no driver principal do leitor de tela Speakup.
Todos devem atualizar
O Projeto Debian pede que todos os usuários do Debian Linux 10 atualizem os pacotes do kernel em suas instalações para a versão 4.19.171-2 o mais rápido possível.
Para atualizar suas instalações, simplesmente execute os comandos sudo apt update && sudo apt full-upgrade
em um emulador de terminal.
Não se esqueça de salvar seu trabalho e reiniciar seus computadores depois de instalar a nova versão do kernel!