Debian Projesi, bu hafta, Linux 5.10 LTS çekirdeğinde çeşitli güvenlik araştırmacıları tarafından keşfedilen ve ayrıcalık artışına yol açabilecek 19 güvenlik açığını gidermek için Debian 11 “Bullseye” işletim sistemi serisi için büyük bir Linux çekirdeği güvenlik güncellemesi yayınladı.
Debian 11 için bu yeni Linux çekirdeği güvenlik güncellemesinde yamalı CVE-2021-4197, Eric Biederman tarafından grup süreci geçiş uygulamasında bildirilen ve yerel bir saldırganın ayrıcalıkları ve CVE’yi yükseltmesine izin verebilecek bir güvenlik açığı var. 2022-0168, CIFS istemci uygulamasında bulunan ve CAP_SYS_ADMIN ayrıcalıklarına sahip yerel bir saldırganın sistemi çökertmesine izin verebilen bir NULL işaretçi başvuru hatası bulundu.
Ayrıca, netfilter alt sisteminde David Bouman tarafından keşfedilen ve yerel bir saldırganın hassas bilgileri okumasına izin verebilecek bir kusur olan CVE-2022-1016, ses alt sisteminde Hu Jiahui tarafından keşfedilen bir yarış durumu olan CVE-2022-1048‘e yamalı. bir PCM ses cihazına erişimi olan yerel bir kullanıcının sistemi çökertmesine veya ayrıcalıkları yükseltmesine, ayrıca CVE-2022-1195 ve CVE-2022-1198, Lin Ma ve Duoming Zhou tarafından 6pack ve mkiss hamradio’da keşfedilen yarış koşullarına izin verebilen. ücretsiz kullanıma yol açabilecek ve yerel bir kullanıcının hizmet reddine bellek bozulması çökme veya ayrıcalıkları yükseltmesine neden olabilecek sürücüler.
Yeni Debian 11 çekirdek güvenlik güncellemesi, Qiuhao Li, Gaoning Pan ve Yongkang Jia tarafından x86 işlemciler için KVM uygulamasında CVE-2022-1158‘in keşfedilen ve yerel bir kullanıcının dev/kvm, MMU öykünücüsünün, ayrıcalık yükseltme veya hizmet reddi (bellek bozulması veya çökme) için kullanılabilecek yanlış adresteki sayfa tablosu giriş bayraklarını güncellemesine neden olur.
Bu güncellemede yer alan diğer önemli güvenlik düzeltmelerinin yanı sıra, CVE-2022-28388, CVE-2022-28389 ve CVE-2022-28390 için düzeltmeler, 8 cihaz USB2CAN, Microchip CAN BUS Analyzer, Microchip CAN BUS Analyzer’da bulunan üç adet çift serbest güvenlik açığı bulunmaktadır. ve EMS CPC-USB/ARM7 CAN/USB arabirim sürücüleri, CVE-2022-1199, CVE-2022-1204 ve CVE-2022-1205, Duoming Zhou tarafından AX.25 hamradio protokolünde keşfedilen yarış koşulları, yerel kullanıcının hizmet reddine (bellek bozulması çökme) veya ayrıcalıkların yükselmesine neden olması ve yerel bir saldırganın reddetmeye neden olabilecek, Beraphin tarafından ANSI/IEEE 802.2 LLC tip 2 sürücüsünde keşfedilen bir kusur olan CVE-2022-28356 servisi.
STMicroelectronics ST21NFCA çekirdek sürücüsünde keşfedilen CVE-2022-26490 arabellek taşması, Debian Bullseye için hizmet reddine veya ayrıcalık yükselmesine ve CVE-2022-1516 NULL işaretçisine yol açabilecek bu yeni Linux çekirdek güvenlik güncellemesinde de yamalandı. X.25 ağ protokolü uygulamasında keşfedilen ve hizmet reddine neden olabilen referans kaldırma hatası. Ancak Debian Projesi, bu sürücülerin Debian’ın resmi çekirdek yapılandırmalarında etkinleştirilmediğini belirtiyor.
Ayrıca, Jayden Rivers ve David Bouman tarafından io_uring alt sisteminde keşfedilen ücretsiz bir güvenlik açığı olan CVE-2022-29582‘den de bahsetmeye değer. IPsec ESP dönüştürme kodunda “valis” tarafından bildirilen ve yerel bir kullanıcının hizmet reddine neden olmasına veya ayrıcalıkları yükseltmesine izin verebilecek olası bir arabellek taşması olan CVE-2022-27666.
Son olarak, yeni Debian 11 “Bullseye” çekirdek güvenlik güncellemesi, PF_KEY alt sistemindeki TCS Robot aracında bulunan ve yerel ayrıcalıksız bir kullanıcının erişim kazanmasına izin verebilecek bir bilgi sızıntısı hatası olan CVE-2022-1353‘ü ele alıyor. sistem çökmesine veya dahili çekirdek bilgilerinin sızmasına neden olur.
Tüm bu güvenlik açıkları artık Debian 11 işletim sistemi serisi için Linux 5.10.113-1 çekirdek güncellemesinde yamalanmıştır. Bu nedenle, Debian Projesi tüm kullanıcıları kurulumlarını mümkün olan en kısa sürede yeni çekirdek sürümüne güncellemeye ve yeniden başlatma yapmaya çağırıyor. Debian Bullseye kurulumlarınızı güncellemek için bir terminal öykünücüsünde sudo apt update && sudo apt full-upgrade
komutunu çalıştırın.