Tijdens een recente scan door Canonical kon het onderhoudsteam enkele kwetsbaarheden ontdekken in de Linux Kernel voor Ubuntu16.04 LTS Xenial Xerus, Ubuntu 15.10 Wily Werewolf en het op Ubuntu 14.04 Trusty Tahr GNU/Linux gebaseerde besturingssysteem.
De fout werd onlangs ontdekt door Jan Stancek in de geheugenbeheerder van de Linux Kernel-pakketten van alle genoemde Ubuntu-besturingssystemen die, indien misbruikt, door aanvallers kunnen worden gebruikt om alle geïnfecteerde systemen te laten crashen met behulp van de brutale Denial van Services-aanval.
“Jan Stancek ontdekte dat de geheugenbeheerder van de Linux-kernel de bewegende pagina's die door de asynchrone I/O (AIO)-ringbuffer naar de andere knooppunten werden toegewezen, niet goed verwerkte. Een lokale aanvaller zou dit kunnen gebruiken om een denial of service (systeemcrash) te veroorzaken”, luidt een van de beveiligingsberichten die vandaag door Canonical zijn gepubliceerd.
De fout in de kernel is volledig gedocumenteerd op CVE-2016-3070 en treft een hele reeks kernelversies over de hele linie, inclusief de langdurig ondersteunde Linux 4.4, Linux 4.2 en ook als Linux 3.13 en 3.19.
Dit betekent ook dat andere op GNU/Linux gebaseerde besturingssystemen die deze kernels gebruiken, ook gevaar kunnen lopen.
Canonical heeft er bij alle gebruikers op aangedrongen deze besturingssystemen te gebruiken (Ubuntu 16.04 LTS (Xenial Xerus), Ubuntu 15.10 (Wily Werewolf), en Ubuntu 14.04 LTS (Trusty Tahr) om te updaten naar de nieuwste Kernel-versie, details hieronder.
De nieuwe kernelversies zijn linux-image-4.4.0-31 (4.4.0-31.33) voor Ubuntu 16.04 LTS, linux-image-4.2.0-42 (4.2.0-42.49) voor Ubuntu 15.10, linux-image-3.13.0-92 (3.13.0-92.139) voor Ubuntu 14.04 LTS, linux-image-3.19.0-65 (3.19.0-65.73~14.04.1) voor Ubuntu 14.04.1 LTS of later, en linux-image-4.2.0-1034-raspi2 4.2.0-1034.44 voor Ubuntu 15.10 voor Raspberry Pi