گزارشهای اخیر حاکی از آن هستند که ۱۲۶ آسیب پذیری در کرنل لینوکس شناسایی شده است که میتوانند به مهاجمان اجازه سوء استفاده از ۷۸ زیرسیستم (subsystems) مختلف لینوکس را بدهند. این آسیب پذیریها، خطرات امنیتی قابلتوجهی به همراه دارند و انواع مختلفی از حملات از جمله انکار سرویس، اجرای کد از راه دور و افزایش سطح دسترسی را ممکن میسازند.
از این رو، از کاربران Ubuntu 22.04 LTS خواسته میشود هر چه سریعتر پچ امنیتی صادر شده توسط Canonical را برای پردازندههای Xilinx ZynqMP دریافت و سیستمهای خود را به روزرسانی کنند.
کرنل Xilinx Zynq UltraScale+ MPSoC (ZynqMP)، یک نسخه تخصصی از کرنل لینوکس است که برای پشتیبانی از ویژگیها و سختافزار خانواده پردازندههای Xilinx Zynq UltraScale+ MPSoC طراحی شده است.
این پردازندهها یک پردازنده چهار هستهای ARM Cortex-A53 (۶۴ بیتی)، یک پردازنده دو هستهای ARM Cortex-R5 (۳۲ بیتی) بلادرنگ، یک پردازنده گرافیکی ARM Mali-400 و منطق قابل برنامهریزی (FPGA) را ترکیب میکنند.
این کرنل لینوکس، پایهای قوی برای برنامههای کاربردی تعبیه شده و همه منظوره در این دستگاهها فراهم میآورد. چنانچه این آسیب پذیریها پچ نشوند، میتوانند به مهاجمان اجازه دهند تا به سیستم نفوذ کنند و به طور بالقوه منجر به دسترسی یا اختلال غیرمجاز شوند.
این پچ امنیتی، صدها CVE را برطرف میکند که شامل آسیب پذیری در subsystemها، معماری، درایورها و پروتکلها میشود. فهرست کاملی از این CVEها در اطلاعیه امنیتی رسمی ارائه شده است.
آخرین به روزرسانی کرنل لینوکس، شامل پچهای امنیتی حیاتی و بهبود عملکرد در چندین subsystem است:
- معماری: به روزرسانی برای ARM32، x86، RISC-V، و S390.
- سیستم فایلها: امنیت و عملکرد پیشرفته برای BTRFS، Ext4، GFS2، Ceph، NFS، JFS و F2FS.
- درایورها: پچ برای درایورهای GPU، USB، Bluetooth ، GPIO، اتصال اترنت و درایورهای InfiniBand.
- شبکه: پچ برای TCP، SCTP، IPv4، IPv6، Netfilter و موارد دیگر.
- فریمورکهای امنیتی: به روزرسانی برای SELinux و ماژولهای کنترل دسترسی.
- کامپوننتهای اصلی: بهینه سازی برای مدیریت حافظه و زیرساخت ردیابی (tracing).
در اینجا جدولی از این CVEها ارائه شده است:
دسته بندی/Subsystem | جزئیات | CVE های مرتبط |
Architectures | ARM32, RISC-V, S390, x86 | CVE-2024-49938, CVE-2024-49966, CVE-2024-50013, CVE-2024-50093 |
Block Layer Subsystem | Storage block layer management | |
ACPI Drivers | Advanced Configuration and Power Interface | |
Drivers Core | Core drivers across subsystems | |
ATA over Ethernet (AOE) | ATA protocol over Ethernet | |
TPM Device Driver | Trusted Platform Module | |
Clock Framework and Drivers | Timing and synchronization drivers | |
EFI Core | Extensible Firmware Interface core functionality | |
GPU Drivers | Graphics processing unit drivers | |
File Systems | Ext4, BTRFS, Ceph, NFS (client/server/superblock), NILFS2, GFS2, F2FS, JFS | |
Networking Core | IPv4, IPv6, CAN, Multipath TCP, MAC80211 | |
USB Drivers | USB Device Class, USB Type-C Port Controller | |
Bluetooth Subsystem | Bluetooth stack | |
Kernel Security | SELinux, Simplified Mandatory Access Control Kernel framework | |
Media Drivers | Amlogic Meson SoC drivers, AudioScience HPI, USB sound | |
Memory Management | Kernel-level memory management | |
Perf Events | Performance monitoring events | |
Tracing Infrastructure | Kernel tracing framework |
اوبونتو علاوه بر به روزرسانی subsystemها، بهروزرسانیهای امنیتی را نیز منتشر کرده است که سایر آسیب پذیریهای سیستمها را پچ میکنند. در اینجا جدول این CVEها ارائه شده است:
CVE | محدوده تحت تاثیر آسیب پذیری |
Kernel memory management subsystem | |
Clock framework and drivers | |
ACPI drivers | |
TPM device driver | |
USB drivers | |
Ethernet bonding drivers | |
Networking Core | |
Architectures (x86) | |
Network Traffic Control | |
Media drivers | |
EFI core | |
InfiniBand drivers | |
GPU drivers | |
Bluetooth subsystem | |
GPU drivers | |
File systems (Ceph, NFS) | |
GPU drivers | |
USB Type-C Port Controller Manager | |
Media drivers | |
Tracing infrastructure | |
IPv6 Networking | |
USB drivers | |
IPv4 Networking | |
SELinux security module | |
Simplified Mandatory Access Control Kernel Framework | |
File systems infrastructure | |
Drivers core | |
Networking core | |
IPv4 networking | |
Multipath TCP |
این آسیب پذیریها بر چندین subsystem و کامپوننت کرنل لینوکس تأثیر میگذارند و بر پیچیدگی و گستردگی مسائل تأکید میکنند. برای مشاهده لیست کامل آسیب پذیریها، به اطلاعیه امنیتی اوبونتو (USN-7166-4) که بیستم ژانویه ۲۰۲۵ منتشر شده است، مراجعه کنید.
Canonical یک به روزرسانی هدفمند برای رفع این مشکلات ارائه کرده است. پکیج آسیب پذیر، linux-xilinx-zynqmp میباشد و نسخه به روزرسانی آن نیز 5.15.0-1039.43 است. به کاربران توصیه میشود نسخه فعلی خود را بررسی کرده و فوراً آن را ارتقا دهند تا مطمئن شوند سیستمهایشان ایمن هستند.
کاربران برای اعمال به روزرسانیها، باید دستورات زیر را در ترمینال خود اجرا کنند:
sudo apt update
sudo apt upgrade
sudo reboot
راهاندازی مجدد سیستم برای اطمینان از اعمال تمام اصلاحات و استفاده از کرنل به روزرسانی شده جدید ضروری است.
این پچ، تغییراتی را در اینترفیس باینری برنامه (ABI) ایجاد میکند که نیاز به کامپایل و نصب مجدد ماژولهای کرنل شخص ثالث دارد.
با این حال، برای اکثر کاربرانی که به صورت دستی، متا پکیجهای استاندارد کرنل را حذف نکردهاند (به عنوان مثال، linux-generic)، این فرآیند در طول ارتقا بصورت خودکار انجام میشود.
این به روزرسانی بخشی از تعهد مداوم Canonical برای تضمین امنیت و ثبات سیستم عامل منبع باز آن است. با توجه به شدت و دامنه آسیب پذیریها، کاربران اوبونتو میبایست سیستمهای خود را در اسرع وقت بهروزرسانی کنند تا از سوءاستفاده احتمالی جلوگیری نمایند.
منبع
مقالات پیشنهادی:
کالی لینوکس نسخه ۲۰۲۴.۴ را با معرفی 14 ابزار جدید منتشر کرد
نفوذ هکرهای چینی به سیستمهای لینوکسی توسط بکدور Wolfsbane!
سوء استفاده BootKitty از LogoFAIL برای نفوذ به سیستم عامل لینوکس
پردازندههای اینتل و AMD در لینوکس حفاظتهای Spectre را دور میزنند
شناسایی آسیب پذیریهای متعدد در کتابخانه PoDoFo لینوکس – فورا پچ کنید!
Bootkitty، اولین بوت کیت UEFI که سرورهای لینوکس را هدف قرار میدهد، شناسایی شد!