Red Hat ha publicado una actualización considerada
importantedel kernel de Red Hat Enterprise Linux 5 (cliente y servidor), que
solventa tres nuevas vulnerabilidades que podrían ser aprovechadas por un
atacante para obtener información sensible, provocar denegaciones de servicio o
elevar sus privilegios.
Detalle de la actualización
- El primero de los problemas
corregidos, con CVE-2014-1737, reside en la forma en que el controlador de
disco del kernel de Linux trata el espacio de usuario en determinados
códigos de error. Podría permitir a
un usuario local con acceso de escritura a /dev/fdX liberar memoria del
kernel.
- También en el controlador de
disco del kernel de Linux, se ha corregido otro problema (CVE-2014-1738)
debido a que se filtran direcciones de memoria interna del kernel al
espacio de usuario, lo que podría permitir a un usuario local con acceso
de escritura a /dev/fdX obtener información sensible.
- La combinación de estos dos
problemas podría permitir a un usuario local elevar sus privilegios en el
sistema.
- Por último una dereferencia de
puntero nulo en la función rds_ib_laddr_check() en la implementación del
protocolo Reliable Datagram Sockets (RDS) en el kernel de Linux. Un
usuario local sin privilegios podrá emplear esta vulnerabilidad
(CVE-2013-7339) para provocar una denegación de servicio.
- Además se han solucionado otros
fallos de menor importancia.
Recomendación
- Ésta actualización está
disponible desde Red Hat Network.
Más
información:
- Important: kernel security and bug fix
update https://rhn.redhat.com/errata/RHSA-2014-0740.html