Atualização de segurança Debian 11

A comunidade Debian liberou varias correções de segurança, confira os detalhes e atualize o seu sistema.

 

 

Debian

Debian, anteriormente chamado Debian GNU/Linux e hoje apenas Debian, é um sistema operacional composto inteiramente de software livre e mantido oficialmente pelo Projeto Debian. O projeto recebe, ainda, apoio de outros indivíduos e organizações de todo o mundo. Wikipédia

 

 Varias correções foram liberadas como se pode ver na imagem.

Os destaque ficam com Firefox e kernel Linux.

Para o Firefox

ID CVE: CVE-2022-29909 CVE-2022-29911 CVE-2022-29912 CVE-2022-29914 CVE-2022-29916 CVE-2022-29917 

Vários problemas de segurança foram encontrados no Mozilla Firefox, o que poderia potencialmente resultar na execução de código, divulgação de informações ou falsificação.

Para o Kernel Linux

ID CVE: CVE-2021-4197 CVE-2022-0168 CVE-2022-1016 CVE-2022-1048
CVE-2022-1158 CVE-2022-1195 CVE-2022-1198 CVE-2022-1199
CVE-2022-1204 CVE-2022-1205 CVE-2022-1353 CVE-2022-1516
CVE-2022-26490 CVE-2022-27666 CVE-2022-28356 CVE-2022-28388
CVE-2022-28389 CVE-2022-28390 CVE-2022-29582

Várias vulnerabilidades foram descobertas no kernel do Linux que
pode levar a uma escalada de privilégios, negação de serviço ou vazamentos de informações
.

Pacote: Linux CVE-2021-4197 Eric Biederman relatou que verificações de permissão incorretas no A implementação da migração do processo cgroup pode permitir que um invasor local para escalar privilégios. CVE-2022-0168 Uma falha de desreferência de ponteiro NULL foi encontrada no cliente CIFS implementação que pode permitir um invasor local com CAP_SYS_ADMIN privilégios para travar o sistema. O impacto na segurança é insignificante, pois CAP_SYS_ADMIN inerentemente oferece a capacidade de negar serviço. CVE-2022-1016 David Bouman descobriu uma falha no subsistema netfilter onde o A função nft_do_chain não inicializou dados de registro que As expressões nf_tables podem ler e gravar. Um invasor local pode tirar vantagem disso para ler informações confidenciais. CVE-2022-1048 Hu Jiahui descobriu uma condição de corrida no subsistema de som que pode resultar em um uso pós-livre. Um usuário local autorizado a acessar um O dispositivo de som PCM pode aproveitar essa falha para travar o sistema ou potencialmente para escalonamento de privilégios. CVE-2022-1158 Qiuhao Li, Gaoning Pan e Yongkang Jia descobriram um bug no Implementação KVM para processadores x86. Um usuário local com acesso a /dev/kvm pode fazer com que o emulador MMU atualize a entrada da tabela de páginas sinalizadores no endereço errado. Eles poderiam explorar isso para causar um negação de serviço (corrupção de memória ou falha) ou possivelmente para escalada de privilégios. CVE-2022-1195 Lin Ma descobriu condições de corrida no 6pack e mkiss hamradio drivers, o que poderia levar a um uso após livre. Um usuário local poderia explorá-los para causar uma negação de serviço (corrupção de memória ou crash) ou possivelmente para escalonamento de privilégios. CVE-2022-1198 Duoming Zhou descobriu uma condição de corrida no 6pack hamradio driver, o que pode levar a um uso-after-free. Um usuário local poderia explorar isso para causar uma negação de serviço (corrupção de memória ou crash) ou possivelmente para escalonamento de privilégios. CVE-2022-1199, CVE-2022-1204, CVE-2022-1205 Duoming Zhou descobriu condições de corrida no rádio AX.25 protocolo, o que pode levar a um ponteiro nulo ou use-after-free desreferência. Um usuário local pode explorar isso para causar uma negação de serviço (corrupção de memória ou falha) ou possivelmente por privilégio escalação. CVE-2022-1353 A ferramenta TCS Robot encontrou um vazamento de informações no PF_KEY subsistema. Um usuário local pode receber uma mensagem de netlink quando um O daemon IPsec é registrado novamente com o kernel, e isso pode incluir informação sensível. CVE-2022-1516 Uma falha de referência de ponteiro NULL na implementação do X.25 conjunto de protocolos de rede padronizados, o que pode resultar em negação de serviço. Este driver não está habilitado no kernel oficial do Debian configurações. CVE-2022-26490 Estouros de buffer no driver principal STMicroelectronics ST21NFCA podem resultar em negação de serviço ou escalada de privilégios. Este driver não está habilitado no kernel oficial do Debian configurações. CVE-2022-27666 "valis" relatou um possível estouro de buffer no IPsec ESP código de transformação. Um usuário local pode aproveitar essa falha para causar uma negação de serviço ou escalação de privilégios. CVE-2022-28356 Beraphin descobriu que o driver ANSI/IEEE 802.2 LLC tipo 2 não não executa corretamente a contagem de referência em alguns caminhos de erro. UMA invasor local pode aproveitar essa falha para causar uma negação de serviço. CVE-2022-28388 Uma dupla vulnerabilidade gratuita foi descoberta nos 8 dispositivos USB2CAN controlador de interface. CVE-2022-28389 Uma dupla vulnerabilidade gratuita foi descoberta no Microchip CAN BUS Driver de interface do analisador. CVE-2022-28390 Uma dupla vulnerabilidade gratuita foi descoberta no EMS CPC-USB/ARM7 Driver de interface CAN/USB. CVE-2022-29582 Jayden Rivers e David Bouman descobriram um user-after-free vulnerabilidade no subsistema io_uring devido a uma condição de corrida em io_uring timeouts. Um usuário local sem privilégios pode aproveitar esta falha para a escalada de privilégios. Para a distribuição estável (bullseye), esses problemas foram corrigidos em versão 5.10.113-1.

Fonte

 

Atualização

Para atualizar o seu sistema execute o comando no terminal.

sudo apt update ; sudo apt full-upgrade

Ao final reinicie a maquina para carregar as correções.