新的Linux内核安全更新旨在解决Ubuntu 16.04 LTS(Xenial Xerus)操作系统系列中使用的Linux 4.4内核中各种安全研究人员发现的五个安全问题,以及未使用Linux 4.15 HWE的官方衍生产品(硬件支持)来自Ubuntu 18.04 LTS(Bionic Beaver)的内核。
这些包括Linux内核的F2FS文件系统实现中的缺陷 (CVE-2017-18241),它错误地处理了noflush_merge挂载选项,以及hugetlbfs实现中的多个整数溢出(CVE-2018-7740)。这两个问题都可能允许本地攻击者通过拒绝服务来破坏易受攻击的系统。
新的Linux内核安全更新还解决了procfs文件系统中发现的一个问题(CVE-2018-1120),该问题可能允许本地攻击者阻止某些用于检查procfs文件系统的工具来报告操作系统的状态,因为它无法正确处理将内存元素映射到文件的进程。
另外修补了由Linux内核的fork()系统调用中由Google Project Zero的Jann Horn发现的竞争条件 (CVE-2019-6133),这可能允许本地攻击者获得对服务缓存授权的访问权限以及安全漏洞(CVE-2018-19985)由Mathias Payer和Hui Peng在Option USB高速驱动程序中发现,它可能允许物理上接近的攻击者导致系统崩溃。
用户必须尽快更新他们的系统
Canonical建议所有Ubuntu 16.04 LTS(Xenial Xerus)用户尽快更新其安装到操作系统稳定存储库中可用的新Linux 4.4内核版本。这些是用于32位和64位系统的linux-image 4.4.0-143.169,用于Raspberry Pi 2的linux-image-raspi2 4.4.0-1104.112,用于云环境的linux-image-kvm 4.4.0-1041.47,用于Snapdragon处理器的linux-image-snapdragon 4.4.0-1108.113和用于Amazon Web Services(AWS)系统的linux-image-aws 4.4.0-1077.87。
Canonical还为从Ubuntu 16.04 LTS (Xenial Xerus)运行Linux 4.4内核的Ubuntu 14.04.5 LTS(Trusty Tahr)用户更新了Linux硬件支持(HWE)内核。因此,它们必须在32位、64位和PowerPC 64位平台上将系统更新到linux-image-generic 4.4.0-143.169~14.04.2,并在Amazon Web Services (AWS)系统上更新到 linux-image-aws 4.4.0-1039.42。请记住,在安装新的内核更新之后重新启动系统。
要更新您的Ubuntu系统,请按照以下的说明更新您的机器。请记住,您需要在安装内核更新后重新启动计算机。
桌面版:
默认情况下,每天通知用户安全更新,每周通知用户非安全更新。 可以在Update Manager中设置Ubuntu如何提醒您以及如何配置系统以自动安装更新。 您可以随时按“Alt + F2”,输入“update-manager”并按Enter键来访问Update Manager。 它的设置可以通过按“设置”按钮进行调整。
一旦Update Manager打开,您可以查看并选择待定更新以及检查新更新。 只需按“安装更新”按钮即可将选定的软件包升级到更新版本。
服务器版:
如果安装了update-notifier-common软件包,Ubuntu会在控制台或远程登录时通过当天的消息(motd)提醒您有关未决更新。
登录后,您可以检查并应用新的更新:
$ sudo apt-get update
$ sudo apt-get dist-upgrade
执行更新时,首先查看适配器将要执行的操作,然后确认要应用更新(运行开发版本时尤其如此)。
如果您希望自动应用更新,请确保已安装无人参与升级软件包,然后运行“dpkg-reconfigure unattended-upgrades”。 请注意,更新可能会重新启动服务器上的服务,因此这可能不适用于所有环境。