21 de junio de 2014

LINUX. Actualización del kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización considerada importantedel kernel de Red Hat Enterprise Linux 5 (cliente y servidor), que solventa tres nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para obtener información sensible, provocar denegaciones de servicio o elevar sus privilegios.
Detalle de la actualización
  • El primero de los problemas corregidos, con CVE-2014-1737, reside en la forma en que el controlador de disco del kernel de Linux trata el espacio de usuario en determinados códigos de error. Podría  permitir a un usuario local con acceso de escritura a /dev/fdX liberar memoria del kernel.
  • También en el controlador de disco del kernel de Linux, se ha corregido otro problema (CVE-2014-1738) debido a que se filtran direcciones de memoria interna del kernel al espacio de usuario, lo que podría permitir a un usuario local con acceso de escritura a /dev/fdX obtener información sensible.
  • La combinación de estos dos problemas podría permitir a un usuario local elevar sus privilegios en el sistema.
  • Por último una dereferencia de puntero nulo en la función rds_ib_laddr_check() en la implementación del protocolo Reliable Datagram Sockets (RDS) en el kernel de Linux. Un usuario local sin privilegios podrá emplear esta vulnerabilidad (CVE-2013-7339) para provocar una denegación de servicio.
  • Además se han solucionado otros fallos de menor importancia.
Recomendación
  • Ésta actualización está disponible desde Red Hat Network.
Más información:
Fuente: Hispasec