Canonical ha lanzado una nueva actualización de seguridad para el kernel de Linux, puntualmente para el sistema de Ubuntu 22.10 (Kinetic Kudu) que viene a traer solución a unas nueve vulnerabilidades de seguridad.
La nueva actualización de seguridad del kernel para Ubuntu 22.10 parchea los siguientes inconvenientes:
- CVE-2022-2196, una vulnerabilidad en la que la implementación de KVM VMX no pudo manejar el aislamiento de predicción de bifurcación indirecta entre máquinas virtuales L1 y L2, lo que permite que un atacante en una máquina virtual invitada exponga información confidencial de la sistema operativo host u otras máquinas virtuales invitadas.
- CVE-2022-42328 y CVE-2022-42329 , dos condiciones de carrera descubiertas en el controlador backend de la red Xen que podrían permitir que un atacante provoque una denegación de servicio (bloqueo del kernel), así como CVE-2023-0266 que es una vulnerabilidad use-after-free descubierta en el subsistema ALSA (Advanced Linux Sound Architecture) que podría permitir que un atacante local bloquee el sistema provocando una denegación de servicio.
- CVE-2023-0469 , una vulnerabilidad de uso después de liberar descubierta en el subsistema io_uring, y CVE-2023-1195 , otra vulnerabilidad de usuario después de liberar encontrada en el sistema de archivos de red CIFS. Ambas vulnerabilidades podrían permitir que un atacante local provoque una denegación de servicio (caída del sistema) o ejecute código arbitrario.
- CVE-2022-4382 , descubierta por Gerald Lee en la implementación del sistema de archivos USB Gadget, que podría conducir a una vulnerabilidad de uso después de la liberación en algunas situaciones y permitir que un atacante local se bloquee. el sistema provocando una denegación de servicio o posiblemente ejecutando código arbitrario.
- CVE-2023-0045 , una falla descubierta por José Oliveira y Rodrigo Branco en la implementación de prctl syscall que hizo que el kernel no protegiera contra ataques indirectos de predicción de ramas y permitió que un atacante local para exponer información confidencial, así como CVE-2023-23559 , una vulnerabilidad de desbordamiento de enteros que se encuentra en el controlador USB RNDIS que podría permitir que un atacante local con acceso físico provoque una denegación de servicio (caída del sistema) o ejecute código arbitrario al conectarse un dispositivo USB malicioso.
Canonical insta a todos los usuarios de Ubuntu 22.10 (Kinetic Kudu) a actualizar sus sistemas lo antes posible al kernel linux-image 5.19.0.38.34 para sistemas de 64 bits o linux-image-raspi 5.19.0-1015.22para sistemas Raspberry Pi.
Después de instalar las nuevas versiones del kernel, es necesario reiniciar el sistema.
- Advertisement -
