Przegląd najnowszych biuletynów bezpieczeństwa Ubuntu (USN) — listopad 2025

Wprowadzenie do problemu / definicja luki

Canonical regularnie publikuje Ubuntu Security Notices (USN), które informują o załatanych podatnościach w oficjalnych pakietach Ubuntu. W dniach 20–21 listopada 2025 r. ukazało się kilka istotnych biuletynów dotyczących m.in. jądra Linuksa (w różnych wariantach), ImageMagick oraz ekosystemu CUPS (cups-filters i libcupsfilters). Poniżej techniczny przegląd najważniejszych zmian, ryzyk i zaleceń.

W skrócie

• Kernel (24.04 LTS i 25.04): szeroki zestaw poprawek w subsystemach sieciowych, plikowych, sterownikach, KVM; wymagana rekompilacja modułów zewnętrznych z powodu zmiany ABI.
• ImageMagick: błąd obsługi pamięci przy kodowaniu BMP może prowadzić do DoS lub RCE (niedokończona poprawka wcześniejszego CVE). Część poprawek dostępna w ESM Apps (Ubuntu Pro).
• cups-filters / libcupsfilters: zdalnie wyzwalane DoS/RCE przez złośliwe TIFF/PDF/CUPS Raster; dotyczy wielu wydań, w tym 24.04 LTS.

Kontekst / historia / powiązania

USN-y dla jądra pojawiają się cyklicznie i często agregują dziesiątki (a choćby setki) CVE obejmujących różne architektury, sterowniki i systemy plików. Listopadowe biuletyny (m.in. USN-7879-1 i USN-7880-1) dotykają jąder 6.14 w odmianach ogólnych, chmurowych (AWS/GCP/Oracle), HWE, real-time oraz OEM. Takie wydania zwykle wymagają restartu oraz mogą wymuszać przebudowę modułów ze względu na zmianę ABI.

Analiza techniczna / szczegóły luki

Kernel (USN-7879-1, USN-7880-1)

• Wskazano m.in. problem z inicjalizacją pamięci cache CPU skutkujący możliwością naruszenia integralności pamięci SEV-SNP przez lokalnego atakującego z dostępem do hypervisora (CVE-2024-36331).
• Zakres poprawek obejmuje dziesiątki subsystemów: BPF, Netfilter, KVM, io_uring, sieć (IPv4/IPv6, MAC80211, TLS), sterowniki GPU/HID/USB, systemy plików (BTRFS, F2FS, NTFS3, NFS, SMB), itd.
• Wydania obejmują 24.04 LTS i 25.04, w tym warianty: linux, linux-aws, linux-gcp, linux-oracle, linux-hwe-6.14, linux-realtime, linux-oem-6.14.

Implikacje techniczne: zmiany w ABI jądra → konieczność przebudowy modułów zewnętrznych (np. sterowniki DKMS), co Canonical podkreśla w sekcji instrukcji aktualizacji.

ImageMagick (USN-7876-1)

• Błąd zarządzania pamięcią podczas kodowania BMP umożliwia crash lub potencjalne wykonanie kodu; wskazano, iż to niepełna poprawka wcześniejszego problemu (CVE-2025-57803).
• Łatki wydane dla wielu wydań (14.04–24.04), część w ramach Ubuntu Pro / ESM Apps.

cups-filters (USN-7878-1) i libcupsfilters (USN-7877-1)

• Nieprawidłowa obsługa złośliwych TIFF/PDF/CUPS Raster → możliwość zdalnego DoS lub RCE.
• Dotyczy szerokiego spektrum wydań (16.04–25.10, w zależności od pakietu); dla 24.04 LTS dostępne konkretne wersje poprawek (2.0.0-0ubuntu7.2 dla libcupsfilters).

Praktyczne konsekwencje / ryzyko

• Serwery i hosty chmurowe (AWS/GCP/Oracle): ryzyko eskalacji skutków błędów jądra; w środowiskach z wirtualizacją i SR-IOV aktualizacje powinny być priorytetowe.
• Stacje robocze / VDI: podatności w sterownikach grafiki/USB/HID i stosie sieciowym mogą być wyzwalane przez lokalne procesy lub złośliwe urządzenia/ramki.
• Środowiska drukujące / serwery wydruku: luki w cups-filters/libcupsfilters można zdalnie trigerować plikami TIFF/PDF/Raster – istotne w sieciach z nieufnymi źródłami plików.
• Pipeline’y multimedialne / serwery konwersji obrazów: błąd ImageMagick może być wykorzystany poprzez przetwarzanie wrogo przygotowanych obrazów BMP.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowe aktualizacje wszystkich hostów z 24.04 LTS i 25.04 (w tym AWS/GCP/Oracle/HWE/RT/OEM) → zaplanuj restart i przebudowę modułów DKMS po zmianie ABI. Zastosuj najnowsze obrazy linux-image-* wskazane w USN.
2. Serwery druku CUPS: zaktualizuj cups-filters i libcupsfilters do wersji podanych w USN (np. libcupsfilters2t64 2.0.0-0ubuntu7.2 dla 24.04). Do czasu aktualizacji ogranicz akceptowane typy plików i segmentuj ruch.
3. Usługi przetwarzania obrazów: uaktualnij ImageMagick; jeżeli korzystasz z Pro/ESM, włącz kanał ESM Apps. Do czasu wdrożenia rozważ sandboxing (AppArmor/SELinux, kontenery) i walidację formatów.
4. Higiena operacyjna:
   • Wymuś re-rolling AMI/obrazy bazowe po aktualizacjach kernela.
   • Monitoruj logi jądra (dmesg, journalctl -k) po rebootach.
   • W CI/CD oznacz buildy wymagające przebudowy modułów po zmianie ABI.
5. Zarządzanie ryzykiem: zastosuj Livepatch/Ubuntu Pro tam, gdzie to możliwe, aby skrócić okno ekspozycji i uprościć utrzymanie długoterminowe.

Różnice / porównania z innymi przypadkami

• W przeciwieństwie do pojedynczych CVE o wąskim zakresie, wydania kernelowych USN często kumulują liczne poprawki obejmujące wiele subsystemów – stąd większa szansa na zmianę ABI i skutki dla modułów zewnętrznych.
• Luki w ImageMagick i CUPS mają wejściowy wektor ataku (złośliwe pliki), więc kontrole treści i odizolowanie usług przetwarzających pliki są równie ważne, co same aktualizacje.

Podsumowanie / najważniejsze wnioski

• Najnowsze USN (20–21.11.2025) dostarczają krytycznych aktualizacji jądra dla 24.04 LTS/25.04, a także poprawek dla ImageMagick i CUPS.
• Traktuj aktualizacje jądra jako pilne, z pełnym cyklem reboot + przebudowa DKMS.
• W środowiskach przetwarzania plików zastosuj defense-in-depth (walidacja, sandboxing, segmentacja) i aktualizuj pakiety zgodnie z USN.

Źródła / bibliografia

• Strona listy USN: „Ubuntu Security Notices”. (Ubuntu)
• USN-7879-1: Linux kernel vulnerabilities (21 listopada 2025) — szczegóły, pakiety, zmiana ABI. (Ubuntu)
• USN-7880-1: Linux kernel (OEM) vulnerabilities (21 listopada 2025) — zakres subsystemów, wymagania aktualizacji. (Ubuntu)
• USN-7876-1: ImageMagick vulnerability (20 listopada 2025) — niepełna poprawka CVE-2025-57803, ESM Apps. (Ubuntu)
• USN-7878-1 / USN-7877-1: cups-filters i libcupsfilters vulnerabilities (20 listopada 2025) — wektory TIFF/PDF/Raster, wersje poprawek dla 24.04 LTS. (Ubuntu)