Actualización del kernel de Debian ante varias vulnerabilidades

Actualización del kernel de Debian ante varias vulnerabilidades

Hace unos días se descubrieron varias vulnerabilidades en el kernel de Linux que podrían dar lugar a ataques de denegación de servicio o fuga de información. Como respuesta a estas vulnerabilidades, los desarrolladores de Debian pusieron a disposición de la comunidad una serie de actualizaciones de seguridad para corregir los problemas detectados. La nueva versión

Hace unos días se descubrieron varias vulnerabilidades en el kernel de Linux que podrían dar lugar a ataques de denegación de servicio o fuga de información. Como respuesta a estas vulnerabilidades, los desarrolladores de Debian pusieron a disposición de la comunidad una serie de actualizaciones de seguridad para corregir los problemas detectados. La nueva versión

debian-logoHace unos días se descubrieron varias vulnerabilidades en el kernel de Linux que podrían dar lugar a ataques de denegación de servicio o fuga de información. Como respuesta a estas vulnerabilidades, los desarrolladores de Debian pusieron a disposición de la comunidad una serie de actualizaciones de seguridad para corregir los problemas detectados.

La nueva versión del kernel que incluye las actualizaciones de seguridad es la 2.6.32-48squeeze4. Por lo tanto, los desarrolladores de Debian recomiendan la actualización del paquete linux-2.6 y el paquete user-mode-linux, dado que ellos han sido recompilados para lograr la compatibilidad y resolución de las brechas de seguridad encontradas.

Las vulnerabilidades que se han corregido ascienden a un total de 11 y ellas se exponen a continuación:

  • CVE-2013-2141: esta vulnerabilidad se corresponde con una fuga de información en las llamadas al sistema tkill y tgkill. Mediante su explotación, un usuario local en un sistema de 64 bits podría ganar acceso a información restringida.
  • CVE-2013-2164: en este caso la vulnerabilidad se da en equipos que tengan una unidad de CD-ROM defectuosa y su explotación permitiría el acceso a información sensible.
  • CVE-2013-2206: un usuario remoto podría realizar un ataque de denegación de servicio (DOS), logrando que el sistema se vuelva inestable, debido a un error de implementación en Linux SCTP.
  • CVE-2013-2232: en este caso la vulnerabilidad está en el manejo de IPv6. En particular, un usuario local podría realizar un DOS en el sistema.
  • CVE-2013-2234: consiste en una fuga de memoria en la implementación de los sockets PF_KEYv2, que podría garantizar acceso a memoria sensible en el kernel a un usuario local.
  • CVE-2013-2237: otra vulnerabilidad similar a la anterior y con las mismas implicaciones al ser explotada.
  • CVE-2013-2239: consiste en varios casos de fuga de memoria en openvz kernel, que podría garantizar acceso a memoria sensible en el kernel a un usuario local.
  • CVE-2013-2851: esta vulnerabilidad solamente puede ser explotada en sistemas configurados de manera especial y permitiría que los usuarios locales con uid 0 ganen altos privilegios de ring 0.
  • CVE-2013-2852: vulnerabilidad del controlador de red b43 presente en tarjetas Broadcom de red inalámbrica. Al igual que la vulnerabilidad anterior, su explotación permite el acceso a privilegios de ring 0.
  • CVE-2013-2888: la vulnerabilidad reside en el driver HID y podría causar que el sistema se vuelva inestable, o un ataque DOS, si se conecta algún dispositivo físico a la máquina.
  • CVE-2013-2892: similar a la vulnerabilidad anterior, pero presente en el controlador pantherlord HID. Además del ataque DOS, su explotación posiblemente logre el acceso a privilegios elevados.

En resumen, se observa la presencia de varias vulnerabilidades que, al ser atacadas, darían lugar a obtención de privilegios, acceso a información sensible, fuga de información y ataques DOS. Por ello, desde ESET Latinoamérica coincidimos con la recomendación de los desarrolladores de Debian: resulta fundamental aplicar las actualizaciones para no estar expuestos a las brechas de seguridad identificadas.

Matías Porolli
Especialista de Awareness & Research

Discusión