Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa nueve nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio, elevar sus privilegios en el sistema o descubrir información.
Detalle e Impacto de la vulnerabilidad
- Varios
problemas corregidos podrían permitir a un atacante elevar sus privilegios
en el sistema como un fallo en la forma en que seunshare, una utilidad
para ejecutar programas bajo un contexto de seguridad diferente, usa la
funcionalidad capng_lock de la librería libcap. Una escalada de
privilegios por un error por un uso después de liberar memoria en la
implementación SCTP del kernel Linux y un desbordamiento de búfer en el
controlador TechnoTrend/Hauppauge DEC USB.
- Por
otra parte problemas de denegación de servicio por un fallo en la
implementación KVM, por un acceso de memoria fuera de límites en syscall
de los subsistemas perf yftrace, por el tratamiento de condiciones OOM
(out of memory) del controlador de recursos de memoria (memcg) y una
condición de carrera en que el subsistema de gestión de llaves realiza la
recolección de basura.
- Y
por último una fuga de información en la implementación del sistema de
archivos ISO9660 al acceder a una imagen con registros RockRidge Extension
Reference (ER).
- Los
CVE asociados son: CVE-2014-3215, CVE-2015-1421, CVE-2014-3690,
CVE-2014-7825, CVE-2014-7826, CVE-2014-8171, CVE-2014-9529, CVE-2014-8884
y CVE-2014-9584.
Recomendación
- Además
se han solucionado otros fallos de menor importancia y se han incluido
algunas mejoras.
- Detalles
sobre la aplicación de ésta actualización se encuentran disponibles desde https://access.redhat.com/articles/11258
Más información:
- Important: kernel security and bug fix
update https://rhn.redhat.com/errata/RHSA-2015-0864.html