Un paio di settimane dopo ultima volta, Canonical ha rilasciato nuovamente un aggiornamento del kernel per correggere varie vulnerabilità. In questa occasione, non tutti dobbiamo preoccuparci, poiché i sistemi interessati sono il vecchio rocker Ubuntu 16.04, in questo momento con supporto ESM, e la precedente versione LTS di Ubuntu, ovvero il Focal Fossa rilasciato nell'aprile 2020. Ed è quello , per chi preferisce fare il salto dalla versione LTS alla versione LTS, Ubuntu 22.04 non apparirà come aggiornamento in Focal Fossa per alcuni giorni, in coincidenza con la ISO 22.04.1.
Quanto ai fallimenti stessi, sono stati pubblicati tre rapporti, il USN-5500-1 che interessa Ubuntu 16.04 ESM e USN-5485-2 y USN-5493-2 che interessano Ubuntu 20.04. Per Focal Fossa un totale di 4 vulnerabilità sono state corrette, mentre Xenial Xerus, con metà dei rapporti, ha ricevuto 8 correzioni. Da qui, se non è troppo complicato, consiglierei almeno di passare a Bionic Beaver (18.04), poiché continuerà a essere completamente supportato fino ad aprile del prossimo anno.
4 vulnerabilità risolte in Ubuntu 20.04
Per la base di utenti, la cosa più interessante sono i bug corretti in Focal Fossa, e sono i seguenti:
- CVE-2022-21123– È stato scoperto che alcuni processori Intel non eseguivano completamente le azioni di pulizia sui buffer condivisi multi-core. Un utente malintenzionato locale potrebbe utilizzarlo per esporre informazioni riservate.
- CVE-2022-21125– È stato scoperto che alcuni processori Intel non eseguivano completamente le azioni di pulizia sui buffer di riempimento della microarchitettura. Un utente malintenzionato locale potrebbe utilizzarlo per esporre informazioni riservate.
- CVE-2022-21166- È stato scoperto che alcuni processori Intel non eseguivano correttamente la pulizia durante operazioni di scrittura specifiche su registri speciali. Un utente malintenzionato locale potrebbe utilizzarlo per esporre informazioni riservate.
- CVE-2022-28388- Si è scoperto che l'implementazione dell'interfaccia 2-Device USB8CAN nel kernel Linux non gestiva correttamente alcune condizioni di errore, portando ad un double-free. Un utente malintenzionato locale potrebbe utilizzarlo per causare un Denial of Service (arresto anomalo del sistema).
Indipendentemente dalla versione o dalla distribuzione utilizzata, e sebbene la maggior parte dei guasti richieda l'accesso fisico al dispositivo, è importante applicare sempre gli aggiornamenti disponibili, o almeno quelli di sicurezza. I nuovi pacchetti sono ora disponibili nei repository Ubuntu 20.04 e 16.04.