Canonical ha rilasciato due versioni corrette dei kernel 2.6.32 e 2.6.38. Sono disponibili nei repository ufficiali. Manca solo qualche mese al rilascio della nuova Long Term Support (LTS), ma il supporto a Ubuntu/Lucid è un impegno costante che dev’essere ancora mantenuto. La versione 2.6.32-35 è il pacchetto di default per la versione 10.04: è insolito, invece, il rilascio di una versione successiva a quella predefinita… considerato anche il fatto che la 2.6.38 è uno “spartiacque” nello sviluppo del kernel.
Gli aggiornamenti rilasciati risolvono una serie di vulnerabilità di sicurezza piuttosto gravi. Almeno due di queste consentono a un attaccante di essere sfruttate per eseguire codice con privilegi di root. Le aree interessate sono l’implementazione di CIFS e un’errata gestione dello stack del Bluetooth. Un’altra vulnerabilità riguarda il file system Ext4: a causa di una errata gestione degli inode mancanti, può consentire ai malintenzionati di causare dei crash.
In questa occasione, tra le undici vulnerabilità corrette non mancava proprio nulla: abbassamento del livello di privacy, crash del sistema, escalation di privilegi ed esecuzione di codice arbitrario. Per le versioni server che contano un 70% di installazioni LTS non è proprio il massimo. La versione 2.6.32-35 è disponibile come aggiornamento, mentre per quanto riguarda la 2.6.38-12 occorrerà una installazione manuale. Per la gravità delle falle corrette è molto importante allineare i sistemi installati.
Via | The H Online
Ubuntu 10.04, corrette alcune falle di sicurezza nel kernel é stato pubblicato su Ossblog.it alle 18:00 di sabato 12 novembre 2011.