Alerta para falha de segurança Ubuntu 20.04

Foi descoberta uma grave uma falha de segurança (CVE-2020-11884) no kernel Linux para sistemas s390x.
O bug permite que um invasor travasse um sistema vulnerável, causando uma negação de serviço ou executando código arbitrário (como se fosse o usuário root).
Toda a base 20.04 deve ser atualizada, não apenas o Ubuntu (Xubuntu, Kubuntu, Lubuntu, etc)
Para atualizar o sistema e resolver esse problema, basta entrar no terminal e digitar o seguinte comando:

“sudo apt update && sudo apt full-upgrade” (sem as aspas).

Interessante ver que esse tipo de problemas ocorre poucos dias depois do vídeo em que comento um pouco sobre segurança:

9 curtidas

Otimo conteudo, parabens!

1 curtida

Obrigado!
Da uma conferida que tem algumas coisas interessantes, fora muitas outras que estão já gravadas e irão ao ar toda segunda, quarta e sexta.

1 curtida

Bem legal e informativo o conteúdo!

É você no vídeo?

1 curtida

Mais essa vulnerabilidade é para s390x a minha arquitetura é x86-64 para mim não faz diferença.
Ou é para x86-64 também e eles colocara só a s390x ?

1 curtida

@brunonzanette, sim, sou eu.

Por via das dúvidas, mantenha o sistema atualizado!
Infelizmente, mesmo linuxers muitas vezes não atualizam o sistema. Então fica o alerta para fazerem-no.

1 curtida

Existem erros e erros. Arbitrary exec é gravíssimo!!! Imperdoável!

Corrigidas as vulns do Windows também são. Se não pego leve com ele, por que pegaria com o Ubuntu?

Ainda não saí do 18.04 por detalhe: não tive tempo nesses últimos dias. Precisaria considerar algumas coisas mas minha vontade é de atualizar. Agora estou feliz em ter “esperado”, no entanto.

A CVE conforme descrita no MITRE restringe a vulnerabilidade à arquitetura s390 mas já começa mal. Conheço muito adolescente (e uns mais grandinhos) que vão adorar essa notícia, afinal, se tem no /arch/s930/, não custa procurar bem no /arch/amd64/. Quem garante que não tem lá uma parecida ou alguma outra diferente tão grave quanto? Quem se distraiu uma vez se distrai duas. Poisson e a Lei de Eventos Raros agradecem. Os “hackers” do mundo inteiro também.

Overflows e memory flaws são perigosos justamente pelo potencial de exec, que dirá exec direto na vuln. Não existe pior do que isso em classificação de vulnerabilidades. Patch é obrigação e nada além disso.

Sei muito bem que Ubuntu não é especializado em sec. Uso-o consciente disto. Mas uma dessas no estômago e de saída, dói.

3 curtidas

Quem gravou o vídeo no post original pode ter falado sobre security e Linux/Windows de um modo geral mas passou longe da CVE-2020-11884, tema principal e que dá título à thread. Além de ter feito uma salada que pelo amor dos deuses…

PPA é tão unsafe quanto AUR e afins, e que eu saiba seus mantenedores também vivem de reputação. Só não estão ligados à Canonical mesmo.

Mas já que o sujeito é tão preocupado, não tem problema: ainda sei usar tarballs e elas eu posso abrir e ler o código-fonte à vontade.

A CVE-2020-11884 em si é causada por uma race condition e independe do usuário, do que ele instala ou deixa de instalar. E só não falo em pirataria aqui porque não li as regras mas vou pela opção segura, até em respeito ao Dio e aos demais responsáveis pelo espaço.

2 curtidas

Uma pergunta boba. Quem baixar e instalar ele de hoje em diante. O sistema já viria corrigido ou também teria que fazer a atualização.

1 curtida

Legal!! Parabéns pelo trabalho!

2 curtidas

Essa correção so vira na .iso quando sair a .iso 20.04.1 (É assim que funciona quando a .iso é atualizada vai subindo numero apos a versão 20.04.2 e 20.04.3 e etc.)

3 curtidas

Essas vulnerabilidade só existe no kernel Ubuntu ou em todos os kernel?
As versões antigas como o kernel 4.4 também tem essas vulnerabilidades?
Segundo essa pagina é somente o 20.04 essa pagina é oficial do Ubuntu?
https://usn.ubuntu.com/4343-1/

1 curtida

In the Linux kernel through 5.6.7 on the s390 platform
CVE - CVE-2020-11884

5.6.7 é “distribution release”. Os kernels “oficiais” estão em kernel.org. Kernels cuja versão divirja das listadas são responsabilidade da distro. No changelog de um kernel 5.1.alguma coisa consta o mesmo problema, então se a numeração for consistente meu kernel 5.3.0.51 pode estar afetado. Não é o que diz a Canonical no entanto, só que alega ter mexido no número de versão por força de uma mudança na ABI. E o que sugere como “security upgrades” cita explicitamente dist-upgrade, o que me deixa meio intranquilo como se estivesse garantindo só o 20.04.

Mesmo assim, 18.04 não está EOL ergo por definição deveria receber atualizações de segurança. Eis aí o tipo de confusão que me faz preferir Gentoo e BSDs mas por ora o negócio é confiar (até porque minha máquina não é s390, essa arquitetura é IBM).

Essa correção so vira na .iso quando sair a .iso 20.04.1

Atualizações de um modo geral não esperam por version number, as de security especialmente. Isso vale pra todo sistema exceto em suas versões EoL.

2 curtidas

Eu instalei o Ubuntu 20.04 ontem e o sistema estava travando a tela. Após usar sua dica, ele parou de travar. Obrigado.

1 curtida

Na verdade, não resolveu. Depois de um tempo congelou a tela novamente. Vou procurar mais por uma solução.

Parabens ! salvou meu dia.

Acabei de ver mais um, aparentemente semelhante ao do tópico

O bug foi identificado como CVE-2021-3560. A solução consiste em verificar se a sua distribuição Linux tem o polkit 0.113 ou outra versão vulnerável e aplicar a atualização disponibilizada.

Essa de 7 anos já faz mais tempo do que este topico.

Uma parte curiosa é que um grande número de distribuições “stable”/LTS eram imunes ao bug simplesmente porque tinham uma versão velha demais do polkit. RHEL 7, Ubuntu 18.04 e Debian 10 não precisaram de atualizações para corrigir o bug.

Aqui está o post da equipe que achou o bug, para quem quiser ler.

No Arch Linux, se tiver a versão 0.119 do Polkit, você já recebeu a correção. Para outras distribuições, veja a página CVE correspondente.

1 curtida

Não sei muito bem opinar sobre o assunto, mas no ubuntu a coisa parece ainda ser o tal 0.113 do Polkit

Pra mim não afetaria já que uso manjaro

T+

1 curtida