RedHat ha publicado una actualización del kernel para toda la familia Red Hat
Enterprise Linux 7 que solventa seis nuevas vulnerabilidades que podrían ser aprovechadas
por atacantes para provocar denegaciones de servicio o elevar sus privilegios
en el sistema.
Los problemas corregidos se deben
a un fallo en la implementación SCTP del kernel al validar "chunks" INIT al realizar Address
Configuration Change (ASCONF). Un atacante remoto podría emplear esta
vulnerabilidad para provocar una denegación de servicio (CVE-2014-7841).
Una condición de carrera, que
puede provocar una denegación de servicio, debida a la forma en que las
llamadas del sistema mmap(2), madvise(2) y fallocate(2) interactúan entre sí
(CVE-2014-4171).
Una desreferencia de puntero nulo
en la forma en que la implementación Common Internet File System (CIFS) del
kernel de Linux trata de montar archivos del sistema compartidos. Un atacante
remoto podrá emplear este problema para provocar la caída de un sistema (CVE-2014-7145).
También se ha encontrado un fallo
en la forma en que la llamada del sistema splice() valida sus parámetros. En
determinados sistemas de archivos, un usuario local sin privilegios podrá
escribir sobrepasando el tamaño máximo de archivo y así bloquear el sistema (CVE-2014-7822).
Por último, dos problemas en la
función parse_rock_ridge_inode_internal() de la implementación ISOFS del kernel
Linux. Un atacante con acceso físico al sistema podrá provocar una denegación de
servicio o elevar sus privilegios en el sistema (CVE-2014-5471, CVE-2014-5472).
Además se han solucionado otros
fallos de menor importancia y se han incluido algunas mejoras. Ésta
actualización está disponible desde Red Hat Network.
Más información:
Important: kernel security and
bug fix update
Antonio Ropero
Twitter: @aropero
Muy buenos contenidos. Me encanta este blog, sobre todo es muy entretenido. Seguid así
ResponderEliminar