Disponibile per Ubuntu 18.04 LTS (Bionic Beaver), Ubuntu 16.04 LTS (Xenial Xerus) e Ubuntu 14.04 LTS (Trusty Tahr), il nuovo kernel Linux livepatch è ora disponibile per tutti gli abbonati al servizio Canonical Livepatch. Corrisponde a sette difetti di sicurezza, tra cui le ben note vulnerabilità L1 Terminal Fault (L1TF) / Foreshadow e SpectreRSB. Chi deciderà di acquistare un i9 di Intel con hardware protection probabilmente si risparmierà un po’ di patch ma per tutti gli altri piovono quasi giornalmente creando non pochi disagi… Ai sistemisti di sicuro, been there done that. Per cercare di rendere la cosa un po’ più indolore, Canonical sta rilasciando molte di queste fastidiose patch tramite il proprio Canonical Livepatch Service che consente di aggiornare il kernel senza bisogno di riavviare la macchina. Questo giro include le mitigation per sette CVE:
- CVE-2018-3620 e CVE-2018-3646 relative a Foreshadow, conosciuto anche come L1 Terminal Fault, che consentirebbe di accedere ad alcune informazioni nella cache L1;
- CVE-2018-15594 relativo a Spectre v2. La paravirtualizzazione sui kernel Linux antecedenti alla 4.18.1 non gestirebbe correttamente alcune chiamate indirette rendendo possibili degli attacchi agli utenti paravirtuali;
- CVE-2018-6555 riguardante l’implementazione IRDA presente nei kernel precedenti alla versione 4.17, esposta ad attacchi di tipo DoS e ad esecuzioni di codice arbitrario;
- CVE-2018-14633 sistema invece una falla nel codice che gestisce l’ISCSI tramite la quale era possibile causare un stack buffer overflow;
- CVE-2018-15572 indirizza un nuovo tipo di attacco rivelato di recente, sempre della classe di Spectre, chiamato SpectreRBS (Return Stack Buffer) che consente di leggere alcune aree della memoria accedendo ad informazioni sensibili;
- CVE-2018-17182 relativo a vmacache che non estisce alcuni tipi di overflow facendo in modo che, tramite la creazione di specifici thread, venga causato un denial of service.
Gli aggiornamenti sono già disponibili tramite Livepatch per:
- Ubuntu 18.04 LTS;
- Ubuntu 16.04 LTS;
- Ubuntu 14.04 LTS
Se non hai installato l’aggiornamento per la sicurezza del kernel della scorsa settimana e stai utilizzando il servizio Canonical Livepatch sul tuo PC Ubuntu a 64 bit, puoi ora aggiornare il kernel liveboot reboot alla versione 44.1 e 44.2. Le nuove versioni del kernel sono linux-image 4.15.0-34.37 per gli utenti di Ubuntu 18.04 LTS, linux-image 4.15.0-34.37 ~ 16.04.1 per gli utenti di Ubuntu 16.04.5 LTS HWE e linux-image 4.4.0-135.161 ~ 14.04.1 per utenti di Ubuntu 14.04.5 LTS HWE. “Si noti che a causa di un problema del client, questo livepatch potrebbe segnalare che non è stato caricato. È possibile verificare che la patch sia stata caricata correttamente cercando in /sys/ kernel/livepatch per una directory che inizia con il nome” lkp_Ubuntu “, seguito da la versione del kernel e che termina con il numero di versione “44”. Il prossimo aggiornamento del client dovrebbe risolvere questo problema “, si legge nell’advisory sulla sicurezza.
