Solución de las vulnerabilidades HWE del núcleo de Linux en Ubuntu
El núcleo Linux Hardware Enablement (HWE) desempeña un papel vital a la hora de garantizar que las versiones LTS de Ubuntu puedan ejecutarse en hardware más reciente. Sin embargo, descubrimientos recientes han puesto de manifiesto varios problemas de seguridad en este kernel. El equipo de seguridad de Ubuntu ha solucionado las vulnerabilidades HWE del núcleo de Linux en Ubuntu 22.04 LTS.
Vulnerabilidades HWE del núcleo de Linux corregidas en Ubuntu
Vulnerabilidades de los controladores NVMe
El investigador Ilon Zahavi identificó problemas críticos en el subsistema NVMe-oF/TCP del kernel de Linux. El subsistema no validaba correctamente los datos PDU de host a controlador (H2C), lo que provocaba vulnerabilidades de desviación de puntero nulo. Estas vulnerabilidades, identificadas como CVE-2023-6356, CVE-2023-6535 y CVE-2023-6536, podían ser explotadas por atacantes remotos para provocar una denegación de servicio (DoS) colapsando el sistema.
Se encontró otra vulnerabilidad en los controladores Intel Data Streaming e Intel Analytics Accelerator. Este fallo permitía a usuarios sin privilegios y máquinas virtuales acceder directamente a los dispositivos, lo que suponía un riesgo para los atacantes locales de provocar una denegación de servicio.
Se ha descubierto una vulnerabilidad de lectura fuera de los límites en la implementación del protocolo RDS del núcleo de Linux. Este problema podría ser explotado para causar un fallo del sistema, lo que podría conducir a una denegación de servicio.
Se ha descubierto una condición de carrera en el subsistema Bluetooth del kernel de Linux, que provoca una vulnerabilidad de desviación de puntero nulo. Un atacante local con privilegios podría aprovecharlo para bloquear el sistema, lo que provocaría una denegación de servicio.
Vulnerabilidades adicionales y actualizaciones de subsistemas
Se han detectado varios problemas de seguridad en diversos componentes del kernel de Linux, que podrían permitir a los atacantes comprometer el sistema. Entre ellos se incluyen la arquitectura ARM64, la arquitectura PowerPC, la arquitectura RISC-V, la arquitectura S390, el núcleo, la arquitectura x86, el subsistema de capa de bloque, la API criptográfica y los controladores ACPI, entre otros.
Parcheado de vulnerabilidades del núcleo de Linux
Para solucionar estas vulnerabilidades, se recomienda encarecidamente actualizar el kernel del sistema a las últimas versiones de los paquetes proporcionados por el equipo de seguridad de Ubuntu. La actualización del kernel de Linux requiere un reinicio para aplicar los cambios necesarios. Esto puede provocar un tiempo de inactividad, lo que puede no ser factible para todos los entornos.
Para entornos que requieren un tiempo de actividad continuo, considere soluciones de live patching como KernelCare Enterprise. Su parcheado en vivo permite aplicar actualizaciones de seguridad a un núcleo en ejecución sin necesidad de reiniciar. Esto es especialmente útil para servidores críticos que no pueden permitirse ninguna interrupción. KernelCare es compatible con las principales distribuciones de Linux, como Ubuntu, Debian, RHEL, AlmaLinux, CloudLinux y Amazon Linux, entre otras.
El equipo de KernelCare ya ha publicado parches para las vulnerabilidades mencionadas. Puede seguir el estado de publicación de todas las vulnerabilidades y sistemas operativos en el rastreador de CVE de TuxCare.
Conclusión
Los recientes descubrimientos de vulnerabilidades HWE del kernel de Linux ponen de relieve la importancia de las actualizaciones oportunas y las estrategias de mitigación eficaces. Utilizando KernelCare Enterprise, puede proteger sus sistemas Linux frente a estas vulnerabilidades y garantizar un funcionamiento ininterrumpido.
Más información sobre Linux live patching aquí.
Fuente: USN-6818-4