Correções de segurança nos servidores HA!Host baseados em CloudLinux para a linha de produção de hospedagem de sites linux.
Confira as melhorias:
- CVE-2018-3620, CVE-2.018-3.646. Os sistemas operacionais modernos implementar a virtualização de memória física para o uso eficiente dos recursos de sistema disponíveis e fornecer proteção inter-domínio através de controle de acesso e isolamento. A questão L1TF foi encontrada na maneira como os projetos de microprocessadores x86 implementaram execução especulativa de instruções (uma otimização de desempenho comumente usado) em combinação com a manipulação de página faltas causadas por terminada virtual para processo de resolução de endereço físico. Como resultado, um atacante sem privilégios poderia usar essa falha para ler a memória privilegiada do kernel ou outros processos e/ ou limites de hóspedes / acolhimento cruz para ler memória do host através da realização de cache ataques de canal lateral-alvo.
- CVE-2018-3693. Um problema de toda a indústria foi encontrado no caminho muitos projetos modernos microprocessadores têm implementado execução especulativa de instruções limites últimos verificar. A falha depende da presença de uma sequência de instruções precisamente definida no código privilegiado eo fato de que as gravações de memória ocorrer para um endereço que depende do valor não confiável. Tais gravações causar uma atualização para o cache de dados do microprocessador até mesmo para obter instruções especulativamente executadas que nunca realmente cometem (aposentar). Como resultado, um atacante sem privilégios poderia usar essa falha para influenciar execução especulativa e/ ou ler a memória privilegiada através da realização de cache ataques de canal lateral-alvo.
- CVE-2018-5390. Uma falha chamado SegmentSmack foi encontrada na maneira como o kernel Linux manipulados especialmente criados pacotes TCP. Um atacante remoto poderia usar essa falha para acionar tempo e cálculo chamadas dispendiosas para tcp_collapse_ofo_queue funções () e tcp_prune_ofo_queue () enviando pacotes especialmente modificados dentro de sessões TCP em curso que poderiam levar a uma saturação de CPU e, portanto, uma negação de serviço no sistema. Manter a condição de negação de serviço requer sessões TCP bidirecionais contínuos para uma porta aberta acessível, assim, os ataques não podem ser realizadas usando endereços IP falsificados.
- CVE-2017-13215. Kernel: crypto: escalonamento de privilégios em função skcipher_recvmsg.
- CVE-2018-10675. Kernel: mm: use-after-free in do_get_mempolicy function allows local DoS or other unspecified impact.
- CVE-2018-7566. Kernel: race condition in snd_seq_write() may lead to UAF or OOB access.
- CLKRN-362. virtio_balloon: fixed another race between migration and ballooning.
- CLKRN-343. Restored cond_resched() behavior.