Google Project Zero revela fallos en el núcleo de Linux CentOS
Google Project Zero revela fallos en el kernel de CentOS Linux tras no publicar las correcciones oportunas antes del plazo de 90 días.
Google Project Zero es un equipo de seguridad que se encarga de identificar vulnerabilidades de seguridad no sólo en los productos de Google, sino también en el software creado por otros proveedores. Una vez detectados los problemas, se comunican en privado a los proveedores, que disponen de 90 días para corregirlos antes de que se hagan públicos.
Dependiendo de lo complicada que sea la solución, en algunos casos también se puede conceder un periodo de gracia de 14 días.
Descubiertas vulnerabilidades en el núcleo de CentOS
Como se explica en este documento técnico, Jann Horn, investigador de seguridad de Google Project Zero, descubrió que las correcciones realizadas en los árboles estables del kernel no se retroportaban a numerosas versiones empresariales de Linux.
Para verificarlo, Horn comparó los núcleos de CentOS stream 9 con el árbol estable linux-5.15.y. Para los que no lo sepan, CentOS es una distribución de Linux que está más estrechamente relacionada con Red Hat Enterprise Linux (RHEL), y su versión se basa en la versión linux-5.14.
Como era de esperar, se descubrió que varios cambios en el kernel no se habían implementado en las versiones más antiguas de CentOS Stream/RHEL, que aún eran compatibles. Horn añadió que Project Zero había dado un plazo de 90 días para la publicación de una solución en este caso. Sin embargo, en el futuro podrían imponerse plazos más estrictos para los backports que falten.
Los tres fallos notificados por Horn fueron aprobados por Red Hat y se les asignaron números CVE. Sin embargo, la empresa no resolvió estos problemas en un plazo de 90 días, por lo que Google Product Zero está divulgando estas vulnerabilidades.
Detalles de las vulnerabilidades
Se ha detectado una vulnerabilidad de uso después de libre en qdisc_graft ubicado en net/sched/sch_api.c dentro del Kernel de Linux, resultante de un problema de condición de carrera. Esta vulnerabilidad provoca un problema de denegación de servicio.
Se ha descubierto una vulnerabilidad "use-after-free" en el sistema de archivos Ext4 del kernel de Linux. Este fallo permite a un usuario local provocar un fallo del sistema o escalar potencialmente sus privilegios. Es posible que sólo se active cuando se monta un sistema de archivos Ext4.
El subsistema de volcado del núcleo del kernel de Linux contiene una vulnerabilidad de tipo use-after-free que puede provocar el bloqueo del sistema. La gravedad de este fallo se considera baja, ya que es difícil que un atacante lo ejecute. Esto se debe a que el atacante debe ejecutar el código vulnerable dos veces para explotar el fallo.
CentOS pretende ofrecer una alternativa estable, segura y gratuita a sistemas operativos comerciales como Red Hat Enterprise Linux (RHEL). Ha sido ampliamente utilizado por organizaciones y particulares de todo el mundo, incluidas diversas empresas y agencias gubernamentales.
El descubrimiento de vulnerabilidades en el kernel de CentOS es, por tanto, motivo de preocupación. Queda por ver si Red Hat se verá presionada para parchear estos problemas de seguridad lo antes posible ahora que los detalles de esas vulnerabilidades en los kernels Linux son públicos.
Parcheado del núcleo de CentOS
La comunidad CentOS debe actuar urgentemente para solucionar las vulnerabilidades y evitar que se sigan explotando. Esto implica la publicación de parches para las vulnerabilidades lo antes posible y la adopción de medidas para mejorar la velocidad y la eficiencia del proceso de aplicación de parches en el futuro.
Uno de los mejores métodos para parchear el kernel es KernelCare Enterprise de TuxCare, que también ha recibido el premio Gold en la categoría de Automatización de la Seguridad en los Premios a la Excelencia en Ciberseguridad 2023. KernelCare Enterprise entrega automáticamente los últimos parches CVE en todas las distribuciones populares de Linux sin necesidad de reiniciar el kernel. De este modo, su equipo nunca tendrá que reiniciar los sistemas ni esperar a las ventanas de mantenimiento programadas para aplicar un parche de vulnerabilidad.
Para saber cómo despliega KernelCare los parches contra vulnerabilidades, vea el proceso de aplicación de parches en directo.
Conclusión
La detección de vulnerabilidades en el núcleo de CentOS Linux constituye una llamada de atención para la comunidad de código abierto. Pone de relieve la importancia de un enfoque colaborativo y concentrado para identificar y resolver las vulnerabilidades con prontitud y eficacia. Además, es vital que otros proyectos de código abierto extraigan lecciones de este incidente y establezcan procedimientos sólidos para abordar las vulnerabilidades y proporcionar correcciones oportunas.
Las fuentes de este artículo incluyen un artículo de Neowin.