Vulnerabilidades críticas en el Kernel de Linux permiten escalamiento de privilegio y DoS
Escalamiento de provilegios
El jueves, Debian advirtió acerca de la vulnerabilidad identificada como CVE-2014-3153 y que permite tomar el control del sistema vícitima.Pinkie Pie (alías de un adolescente anónimo) descubrió un error en una llamada al subsistema futex (Fast Userspace Mutex) de versiones de Kernel Linux 2.6.32.62/3.2.59/3.4.91/3.10.41/3.12.21/3.14.5. La vulnerabilidad permite ejecutar código arbitrario con privilegios de modo Kernel.
Un usuario sin privilegios podría utilizar esta falla para realizar un ataque DoS o para elevar sus privilegios al Ring 0 del sistema operativo.
Pinkie Pie es un adolescente anónimo que desde 2012 ha ganado por lo menos $100.000 en las competencias Pwnium y Pwn2Own.
Kees Cook, un investigador de seguridad de Google Chrome OS y Ubuntu ha declarado en SecLists que "el último fallo encontrado por Pinkie Pie es urgente".
Otras vulnerabilidades en el Kernel de Linux
Otros problemas de seguridad (CVE-2014-3144 y CVE-2014-3145) también han sido descubiertos en el Kernel de Linux y los mismos podrían permitir que cualquier usuario local provoque un ataque de denegación de servicio (DoS) vía instrucciones BPF (Berkeley Packet Filter) manipuladas.Debian ya ha publicado los parches para estas vulnerabilidades y alentó a los usuarios de Linux para actualizar sus paquetes destacando que el problema ha sido solucionado en la distribución estable, versión 3.2.57-3+deb7u2.
ChkRootkit: otro fallo crítico
Otra vulnerabilidad crítica fue reportada el jueves por Thomas Stangner en ChkRootkit. El fallo en el popular detector de rootkits, permitiría a un atacante local obtener acceso de Root para hacerse con el control del sistema y ejecutar código malicioso dentro del directorio /tmp. La vulnerabilidad en ChkRootkit (CVE-2014-0476) reside en la función slapper().Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!