نظام Ubuntu يصحح ثغرات حرجة في نواة Azure وتسريبات بيانات AMD عبر التحديث USN-8126-1

أصدرت شركة Canonical تحديثاً أمنياً بالغ الأهمية يحمل الرمز USN-8126-1، لمعالجة ثغرات أمنية متعددة في نواة linux-azure-6.8 المخصصة لأنظمة الحوسبة السحابية لبيئة Microsoft Azure. يعالج هذا التحديث الشامل عيوباً خطيرة، بما في ذلك ثغرة الهروب من الحاوية (Container Escape) في وحدة AppArmor، وتسريبات بيانات معالجات شركة AMD، مما يضمن سلامة عمليات نشر نظام Ubuntu السحابية.

يُعد هذا التحديث ضرورياً لمسؤولي السحابة، وفرق أمن العمليات التطويرية (DevSecOps)، ومهندسي الأنظمة الذين يديرون خوادم Ubuntu على بنية Microsoft Azure التحتية. من خلال تطبيق تحديث النواة هذا، يمكن للمؤسسات منع عمليات تصعيد الصلاحيات (Privilege Escalation) المحلية المحتملة، وهجمات حجب الخدمة (DoS)، والوصول غير المصرح به إلى ذاكرة النواة الحساسة في البيئات متعددة المستأجرين.

اكتشف باحثو الأمن في شركة Qualys ثغرات أمنية كبيرة داخل وحدة أمان نواة Linux المعروفة باسم AppArmor، والتي يتم تتبعها تحت الرمز LP: #2143853. يمكن لمهاجم محلي غير متصل بصلاحيات استغلال هذه المشكلات لتحميل أو استبدال أو إزالة ملفات تعريف AppArmor العشوائية. في سيناريو العالم الحقيقي، يمكن أن يؤدي هذا التلاعب إلى هجوم حجب الخدمة، أو كشف ذاكرة النواة الحساسة، أو تصعيد الصلاحيات المحلية، أو الهروب الكامل من حاوية معزولة.

علاوة على ذلك، يعالج التحديث ثغرة CVE-2024-36331، وهي مشكلة تتعلق بالتهيئة غير الصحيحة لذاكرة التخزين المؤقت للمعالج (CPU Cache). يمكن أن تسمح هذه الثغرة لمهاجم محلي يتمتع بصلاحيات مراقب الأجهزة الافتراضية (Hypervisor) بالكتابة فوق ذاكرة الضيف من نوع SEV-SNP، مما يؤدي إلى فقدان خطير لسلامة البيانات. بالإضافة إلى ذلك، حدد فريق من الباحثين - يضم Oleksii Oleksenko و Cedric Fournet و Jana Hofmann و Boris Köpf و Stavros Volos و Flavien Solt - ثغرات تسريب بيانات في معالجات محددة من شركة AMD.

تسمح عيوب معالجات شركة AMD، التي يتم تتبعها تحت الرمزين CVE-2024-36350 و CVE-2024-36357، للمهاجم باستنتاج البيانات من عمليات تخزين الذاكرة السابقة. يمكن لمهاجم محلي الاستفادة من هذه الثغرة على مستوى الأجهزة لكشف معلومات حساسة للغاية ومقيدة بصلاحيات عبر النظام بأكمله.

بالإضافة إلى الثغرات الأساسية، يصحح تحديث النواة هذا عيوباً أمنية عبر مجموعة هائلة من الأنظمة الفرعية في نظام Linux. لضمان استقرار النظام بالكامل، يجب على المسؤولين ملاحظة أنه تم تطبيق التصحيحات على المجالات الأساسية التالية:

• بنيات النظام: معمارية ARM32، ومعمارية ARM64، ومعمارية MIPS، ومعمارية Nios II، ومعمارية PA-RISC، ومعمارية PowerPC، ومعمارية RISC-V، ومعمارية S390، ومعمارية Sun Sparc، ومعمارية x86، ومعمارية Xtensa، ونظام User-Mode Linux.
• برامج التشغيل الأساسية والأجهزة: واجهة ACPI، وتقنية Bluetooth، وبطاقات الرسوميات (GPU)، ونظام HID، ونظام I2C، ونظام IOMMU، وناقل PCI، ونظام SCSI، ومنافذ Thunderbolt، ومنافذ USB4، وبرامج تشغيل SoC المتنوعة (لشركات ASPEED و QCOM و Samsung و Texas Instruments).
• الشبكات والتخزين: محركات NVME، ومحركات NVDIMM، وربط شبكات Ethernet، وبرامج تشغيل شبكات شركة Mellanox، وبرامج تشغيل ATM، والعديد من برامج تشغيل الأجهزة الكتلية (Block Devices).
• أنظمة الملفات: نظام BTRFS، ونظام Ceph، ونظام exFAT، ونظام Ext4، ونظام F2FS، ونظام FUSE، ونظام GFS2، ونظام NTFS3، ونظام Overlay، ونظام SMB، ونظام SquashFS، ونظام XFS، والعديد من الأنظمة الأخرى.
• الذاكرة والتنفيذ: النظام الفرعي BPF، وإدارة الذاكرة، وواجهة برمجة تطبيقات التشفير (Cryptographic API)، وبرامج تشغيل بيئة التنفيذ الموثوقة (Trusted Execution Environment).

يسلط إصدار التحديث USN-8126-1 لنواة linux-azure-6.8 الضوء على التعقيد المتزايد لتأمين البنية التحتية السحابية الأصلية. تُعد ثغرة AppArmor مقلقة بشكل خاص لعمليات نشر بيئة Azure، حيث يمكن أن تؤدي عمليات الهروب من الحاوية في البيئات السحابية متعددة المستأجرين إلى اختراق أعباء العمل التنظيمية الأوسع نطاقاً بسرعة. من خلال معالجة هذا الخلل في وحدة LSM، تغلق شركة Canonical مساراً حرجاً لتصعيد الصلاحيات.

علاوة على ذلك، فإن تضمين تصحيحات لتسريبات بيانات معالجات شركة AMD (للثغرتين CVE-2024-36350 و CVE-2024-36357) وعمليات الكتابة فوق ذاكرة الضيف SEV-SNP يؤكد على اتجاه مستمر في الصناعة: تظل بيئات التنفيذ على مستوى الأجهزة هدفاً رئيسياً للاستغلالات المعقدة. يجب على مسؤولي السحابة إعطاء الأولوية لهذا التحديث، حيث أن الاعتماد فقط على دفاعات طبقة البرامج غير كافٍ عندما يتم اختراق ذاكرة التخزين المؤقت لوحدة المعالجة المركزية الأساسية أو إدارة ذاكرة مراقب الأجهزة الافتراضية.