.

Breaking News
recent

-

Descubierta importante vulnerabilidad en el kernel de Linux

Descubierta importante vulnerabilidad en el kernel de Linux


Se ha descubierto una vulnerabilidad crítica (CVE-2014-0196) que permitiría a un usuario sin privilegios corromper la memoria del nucleo, conseguir permisos de administrador o hacer que el equipo se bloquee, causando una denegación de servicio y provocando la caída del sistema.

El agujero de seguridad fue descubierto de forma accidental por un usuario de SUSE y estaría presente desde la versión 2.6.31-RC3 lanzada en 2009, hasta las ultimas versión estable 3.14.3 y en desarrollo 3.15-RC5.

El desbordamiento de buffer se produciría cuando se dan dos procesos paralelos en la misma pseudo-terminal (PTY), explotando una debilidad de race condition (condición de carrera) localizada en la función n_tty_write, lo que produciría un crash y permitiría en algunos casos la ejecución de código.

El asunto parece bastante serio y puede comprometer la seguridad de servidores o incluso dispositivos Android, existiendo ya algún exploit creado como prueba de concepto, que funciona en arquitecturas de 64 bits.

Por fortuna ya esta disponible un parche para la versión estable del Kernel Linux , lo que ha permitido que muchas de las distros GNU/Linux como Ubuntu, Fedora o Debian Wheezy hayan solucionado este bug y el resto de distribuciones estén a punto de hacerlo.

En todo caso es recomendable estar atento a las próximas actualizaciones de nuestras distro favorita, para que se cumpla aquello de:

una vulnerabilidad más…pero un bug menos


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0196
http://bugfuzz.com/stuff/cve-2014-0196-md.c

No hay comentarios:

Publicar un comentario

-

Con la tecnología de Blogger.