Recientemente se han encontrado múltiples vulnerabilidades en el Kernel
de Linux que pueden permitir el escalamiento de
privilegio y ataques de
DoS a estaciones de trabajo y servidores. Debido a su criticidad urge la
actualización.
Escalamiento de provilegios
El jueves,
Debian advirtió acerca de la vulnerabilidad identificada como CVE-2014-3153 y que permite tomar el control del
sistema vícitima.
Pinkie Pie (alías de un adolescente anónimo) descubrió un error en una llamada al subsistema
futex (Fast Userspace Mutex) de versiones de
Kernel Linux 2.6.32.62/3.2.59/3.4.91/3.10.41/3.12.21/3.14.5. La vulnerabilidad permite ejecutar código arbitrario con privilegios de modo
Kernel.
Un usuario sin privilegios podría utilizar esta falla para realizar un ataque DoS o para elevar sus privilegios al
Ring 0 del sistema
operativo.
Pinkie Pie es un adolescente anónimo que desde 2012 ha ganado por lo menos $100.000 en las competencias
Pwnium y
Pwn2Own.
Kees Cook, un investigador de seguridad de Google Chrome OS y Ubuntu
ha declarado en SecLists que
"el último fallo encontrado por Pinkie Pie es urgente".
Otras vulnerabilidades en el Kernel de Linux
Otros problemas de seguridad (
CVE-2014-3144 y
CVE-2014-3145)
también han sido descubiertos en el
Kernel de Linux y los mismos
podrían permitir que cualquier usuario local provoque un ataque de
denegación de servicio (DoS) vía
instrucciones BPF (Berkeley Packet Filter) manipuladas.
Debian ya ha publicado los parches para estas vulnerabilidades y alentó
a los usuarios de Linux para actualizar sus paquetes destacando que el
problema ha sido solucionado en la distribución estable, versión
3.2.57-3+deb7u2.
ChkRootkit: otro fallo crítico
Otra vulnerabilidad crítica fue
reportada el jueves por Thomas Stangner en ChkRootkit. El fallo en el popular detector de
rootkits, permitiría a un atacante local obtener acceso de
Root para hacerse con el control del sistema y ejecutar código malicioso dentro del directorio
/tmp. La vulnerabilidad en ChkRootkit (
CVE-2014-0476) reside en la función
slapper().
Cristian de la Redacción de Segu-Info