ClickCease Solucionados varios fallos del kernel de Linux de uso posterior gratuito

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Solucionados varios fallos del kernel de Linux de uso posterior gratuito

Rohan Timalsina

18 de abril de 2023 - Equipo de expertos TuxCare

Recientemente, se ha descubierto que el kernel de Linux tiene varios fallos críticos. El agotamiento de la memoria, las caídas del sistema, la denegación de servicio (DoS), la revelación de datos privados, los ataques de secuencias de comandos en sitios cruzados (XSS), los ataques de escalada de privilegios o la ejecución de código arbitrario son efectos potenciales de estos problemas.

En esta entrada del blog se analizarán esas vulnerabilidades del kernel y sus posibles repercusiones en el sistema.

 

Impacto de los fallos descubiertos

CVE-2023-0266

El subsistema Advanced Linux Sound Architecture (ALSA) del kernel de Linux contenía una vulnerabilidad de tipo use-after-free. Un atacante local puede utilizar este fallo para escalar privilegios en el sistema y filtrar información del kernel.

 

CVE-2021-3669

Dado que la medición del uso de la memoria compartida no se escala adecuadamente con grandes segmentos de memoria compartida, podría resultar en el agotamiento de la memoria y una denegación de servicio (DoS).

 

CVE-2022-3424

El controlador GRU de SGI en el kernel de Linux contenía un fallo de uso después de la liberación. Como resultado, esta vulnerabilidad permite a un atacante local causar una caída del sistema o potencialmente escalar sus privilegios.

 

CVE-2022-36280

El controlador vmwgfx del kernel de Linux incluía una vulnerabilidad de escritura fuera de los límites que permite a un atacante local escalar sus privilegios en el sistema o provocar un fallo del sistema.

 

CVE-2022-41218

El subsistema dvb-core del kernel de Linux contenía una vulnerabilidad de uso después de la liberación en la forma en que un usuario retiraba físicamente un dispositivo USB mientras ejecutaba código malicioso. Como resultado, un usuario local puede causar una denegación de servicio o escalar sus privilegios en el sistema.

 

CVE-2022-47929

Se ha descubierto un fallo de deferencia de puntero NULL en la implementación de la disciplina de colas de red en el kernel de Linux. Esta vulnerabilidad permite a un atacante local provocar un fallo del sistema o filtrar detalles internos del kernel.

 

CVE-2023-0045

La llamada al sistema prctl no protegía contra ataques de predicción indirecta de bifurcaciones en algunos casos. Como resultado, un atacante local puede utilizar este fallo para revelar información sensible.

 

CVE-2023-0394

Se ha descubierto un fallo de deferencia de puntero NULL en uno de los subcomponentes de red del kernel de Linux. Esta vulnerabilidad puede provocar una caída del sistema.

 

CVE-2023-23455

En atm_tc_enqueue en net/sched/sch_atm.c en el kernel de Linux se encontró un fallo de denegación de servicio. Dicha vulnerabilidad de confusión de tipo puede permitir a un atacante local causar una denegación de servicio.

 

CVE-2023-23559

El controlador USB RNDIS del kernel de Linux incluía una vulnerabilidad de desbordamiento de enteros. Como resultado, un usuario local puede causar una caída del sistema o escalar sus privilegios en el sistema.

 

CVE-2023-28328

El controlador DVB USB AZ6027 del kernel de Linux incluía un defecto de deferencia de punto NULL que permite a un atacante local provocar una denegación de servicio (caída del sistema).

 

Medidas de seguridad para los fallos del núcleo de Linux

Para los administradores de sistemas, es fundamental realizar un seguimiento de las actualizaciones de seguridad y aplicarlas en cuanto estén disponibles. TuxCare ha publicado recientemente parches para los fallos mencionados en el kernel de Linux. Por lo tanto, recomendamos a todos los usuarios afectados que actualicen los parches inmediatamente para salvaguardar sus sistemas y datos sensibles de los atacantes.

KernelCare puede parchear todas las distribuciones populares de Linux sin reiniciar el sistema ni dejar de funcionar, por lo que no tendrá que preocuparse por el tiempo de inactividad. Puede obtener más información sobre KernelCare Enterprise y cómo funciona su aplicación de parches en vivo.

 

Las fuentes de este artículo incluyen un artículo de LinuxSecurity.

Resumen
Solucionados varios fallos del kernel de Linux de uso posterior gratuito
Nombre del artículo
Solucionados varios fallos del kernel de Linux de uso posterior gratuito
Descripción
Se descubrió que el kernel de Linux presentaba varios fallos críticos, entre los que se encontraban los de uso después de la liberación, denegación de servicio (DoS) y XSS.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín