2018-09-27付記事によると、Linuxカーネルにルート権限昇格のバグ(CVE-2018-17182)が発見され、修正版は公開済みです。
しかし、各ディストリビューションのアップデートが未適用な為、ユーザは危険に晒されたままだそうです。
Google Project Zero to Linux distros: Your sluggish kernel patching puts users at risk
カーネル修正版は2週間前から順次リリースされており、現状下記がパッチ適用済み。
3.16.58, 4.18.9, 4.14.71, 4.9.128, 4.4.157
そこで、各ディストリビューションの現状を調べて見ました。(■:未適用、◎:適用済み or 対象外)
【1】Debian
https://security-tracker.debian.org/tracker/CVE-2018-17182
■:Jessie、Stretch、Buster、sid
これ以外に、カーネルの脆弱性は未だ多く残っています。
https://security-tracker.debian.org/tracker/source-package/linux
【2】Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-17182.html
■:Xenial、Bionic、Cosmic
◎:Precise、Trusty
Ubuntuも多くのカーネル脆弱性があり。緑色が対策済み。
https://people.canonical.com/~ubuntu-security/cve/pkg/linux.html
【3】Red Hat
https://access.redhat.com/security/cve/cve-2018-17182
■:Enterprise Linux 7(kernel-alt)
◎:Enterprise MRG 2(kernel-rt)、Enterprise Linux 7(kernel、kernel-rt)、Enterprise Linux 6(kernel)、Enterprise Linux 5(kernel)
【4】Arch Linux
https://security.archlinux.org/package/linux
◎:ローリング・リリースなので常にカーネルは最新版です。未対策件数も少ないですね。
4.18.10.arch1-1 [testing]
4.18.9.arch1-1 [core]
カーネルの脆弱性は最優先でアップデートして欲しいですね。
アプリなら使わない手がありますが、カーネルはOSの根幹なので回避できません。
次々と虫が湧き出る殻に蓋