Linuxeden开源社区
Debian 项目本周发布了针对其 Debian GNU/Linux 11 “Bullseye” 操作系统系列的大规模 Linux 内核安全更新,以解决各种安全研究人员在上游 Linux 5.10 LTS 内核中发现的 19 个安全漏洞,这些漏洞可能导致权限升级、拒绝服务或信息泄露。
在这个针对Debian GNU/Linux 11的新 Linux 内核安全更新中修补了CVE-2021-4197,这是 Eric Biederman 在 cgroup 进程迁移实现中报告的一个安全漏洞,它可能允许本地攻击者提升权限,以及CVE -2022-0168,在 CIFS 客户端实现中发现的 NULL 指针取消引用缺陷,它可以允许具有 CAP_SYS_ADMIN 权限的本地攻击者使系统崩溃。
还修补了CVE-2022-1016,这是 David Bouman 在 netfilter 子系统中发现的一个漏洞,它可能允许本地攻击者读取敏感信息,CVE-2022-1048是胡家辉在 sound 子系统中发现的竞争条件,它可能允许访问 PCM 声音设备的本地用户使系统崩溃或提升权限,以及CVE-2022-1195和CVE-2022-1198,这是 Lin Ma 和 Duoming Zhou 在 6pack 和 mkiss hamradio 中发现的竞争条件驱动程序,这可能导致释放后使用并允许本地用户导致拒绝服务(内存损坏或崩溃)或提升权限。
新的 Debian GNU/Linux 11 内核安全更新解决了 Qiuhao Li、Ganing Pan 和 Yongkang Jia 在 x86 处理器的 KVM 实现中发现的错误CVE-2022-1158,据说该错误允许本地用户访问 / dev/kvm 导致 MMU 仿真器更新错误地址的页表条目标志,这可用于权限提升或拒绝服务(内存损坏或崩溃)。
在此更新中包含的其他值得注意的安全修复程序中,有针对CVE-2022-28388、CVE-2022-28389和CVE-2022-28390的修复程序,在 8 个设备 USB2CAN、Microchip CAN BUS Analyzer、和 EMS CPC-USB/ARM7 CAN/USB 接口驱动程序,CVE-2022-1199、CVE-2022-1204和 CVE-2022-1205由 Duoming Zhou 在 AX.25 hamradio 协议中发现的竞争条件,这可能允许本地用户导致拒绝服务(内存损坏或崩溃)或提升权限,以及CVE-2022-28356,这是 Beraphin 在 ANSI/IEEE 802.2 LLC 类型 2 驱动程序中发现的漏洞,本地攻击者可能会导致拒绝的服务。
在 STMicroelectronics ST21NFCA 核心驱动程序中发现的CVE-2022-26490缓冲区溢出已在针对 Debian Bullseye 的新 Linux 内核安全更新中进行了修补,这可能导致拒绝服务或权限提升,以及CVE-2022-1516 NULL 指针在 X.25 网络协议实现中发现的取消引用缺陷,可能导致拒绝服务。然而,Debian 项目指出,这些驱动程序并未在 Debian 的官方内核配置中启用。
另外值得一提的是CVE-2022-29582,这是 Jayden Rivers 和 David Bouman 在 io_uring 子系统中发现的一个用户释放后漏洞,它可以允许本地非特权用户提升权限,以及CVE-2022-27666,一个IPsec ESP 转换代码中的“valis”报告的缓冲区溢出可能允许本地用户导致拒绝服务或提升权限。
最后但同样重要的是,新的 Debian GNU/Linux 11 “Bullseye”内核安全更新解决了CVE-2022-1353,这是一个在 PF_KEY 子系统中的 TCS Robot 工具中发现的信息泄漏漏洞,它可能允许本地非特权用户获得访问权限到内核内存,导致系统崩溃或内部内核信息泄漏。
所有这些漏洞现在都在 Debian GNU/Linux 11 操作系统系列的 Linux 5.10.113-1 内核更新中得到修补。因此,Debian 项目敦促所有用户尽快将他们的安装更新到新的内核版本并执行重启。要更新您的 Debian Bullseye 安装,请sudo apt update && sudo apt full-upgrade在终端模拟器中运行该命令。
转自 https://9to5linux.com/debian-gnu-linux-11-users-get-a-massive-linux-kernel-security-update-patch-now