Actualización mensual de TuxCare - Octubre de 2021

Bienvenido a la siguiente entrega de nuestro resumen mensual de noticias, de la mano de TuxCare. Hemos desarrollado soluciones de parcheo en tiempo real que minimizan la carga de trabajo de mantenimiento y las interrupciones, al tiempo que maximizan la seguridad y el tiempo de actividad de sus sistemas.

En este último resumen mensual, empezaremos como de costumbre con un resumen de los últimos CVE parcheados por el equipo TuxCare. También te ofreceremos los últimos consejos y sugerencias, así como algunos vídeos interesantes creados por el equipo TuxCare.

Contenido:

1. CVE divulgados en octubre
2. Podcasts de vídeo sobre seguridad de Enterprise Linux
3. Las últimas noticias sobre el fin de la vida útil de CentOS 8
4. Blog TuxCare: Selección del Editor

CVE divulgadas en octubre

En octubre se revelaron una serie de vulnerabilidades que afectan a Ubuntu 20.04 Hardware Enablement Stacks (HWE) y a Amazon Web Services (AWS).

El primero, denominado CVE-2020-3702afecta al controlador Wi-Fi Atheros Ath9k dentro del Kernel. Una potencial condición de carrera entre hilos concurrentes podría causar un comportamiento inesperado y explotable por el atacante. Afectando principalmente a los adaptadores inalámbricos basados en Snapdragon, la vulnerabilidad podría permitir un ataque al sistema utilizando la conexión inalámbrica como vector de entrada.

El siguiente, designado CVE-2021-3732afecta a los controles de acceso a archivos, permitiendo el acceso sin privilegios a datos protegidos.

El siguiente, designado CVE-2021-3739afecta al código BTRFS dentro del Kernel, donde un proceso secuestrado ejecutándose con privilegios CAP_SYS_ADMIN puede ser utilizado para lanzar una denegación de servicio.

El siguiente, designado CVE-2021-3743se encontró en la implementación del protocolo Qualcomm IPC Router. Los metadatos no validados pueden aprovecharse para acceder a información confidencial, interrumpir el procesamiento o lanzar una denegación de servicio.

El siguiente, designado CVE-2021-3753afecta al dispositivo de terminal virtual (VT) utilizado para el acceso local a un sistema a través de la consola. Una condición de carrera puede ser explotada para causar un error de lectura fuera de límites que puede ser aprovechado para la divulgación de información no autorizada.

El siguiente, designado CVE-2021-38166afecta al subsistema BPF del Kernel. Un atacante con privilegios CAP_SYS_ADMIN puede causar un desbordamiento de entero para producir una escritura fuera de límites en el código HashTab. Esta vulnerabilidad puede aprovecharse para iniciar la ejecución de código arbitrario, interrumpir el procesamiento o lanzar una denegación de servicio. Este código del kernel ha sido objeto de otras vulnerabilidades recientes que se han mencionado ampliamente.

El siguiente, designado CVE-2021-40490afecta a la base de código EXT4 y es otra condición de carrera explotable que puede ser aprovechada para lanzar una denegación de servicio. Existe una ruta conocida hacia la escalada de privilegios para esta vulnerabilidad en este código ampliamente desplegado, por lo que su importancia potencial se considera muy alta.

La última vulnerabilidad, denominada CVE-2021-42008en la función "decode_data" del controlador de red "hamradio". Un atacante con privilegios CAP_SYS_ADMIN puede usar esto para causar una escritura fuera de límites. Esta vulnerabilidad puede ser aprovechada remotamente para obtener acceso root o lanzar una denegación de servicio.

Podcasts de vídeo sobre seguridad de Enterprise Linux

El podcast Enterprise Linux Security del equipo TuxCare continúa ofreciendo explicaciones en profundidad sobre los últimos temas de actualidad y conceptos fundamentales. Co-presentado por Jay LaCroix de Learn Linux TV y Joao Correia de TuxCare, los próximos dos episodios ya están disponibles para ver.

Puede ver el quinto episodio, en el que se analiza cómo piensan y actúan los atacantes, aquí: Enterprise Linux Security Episode 05 - The "Attacker" Mindset - YouTube

También está disponible el sexto episodio que trata de las imágenes de despliegue aquí: Enterprise Linux Security Episode 06 - Image Defaults - YouTube

Estos podcasts de vídeo en los que se debaten cuestiones de seguridad de Linux son de visionado obligatorio para cualquier persona implicada en la gestión de sistemas empresariales basados en Linux.

Las últimas noticias sobre el fin de la vida útil de CentOS 8

En septiembre, anunciamos el lanzamiento de nuestro ciclo de vida ampliado para CentOS 8tras el repentino anuncio de su fin de vida. Ahora sólo faltan sesenta días para el fin de la vida útil de CentOS 8, que llegará en ese periodo entre Navidad y Año Nuevo en el que nadie quiere tener que gestionar una migración importante de sistema operativo. Si todavía estás indeciso sobre cómo proceder en esta etapa tan tardía, echa un vistazo a este vídeo de Jay de LearnLinuxTV para ver la lista completa de opciones. No olvides que nuestro paquete de soporte incluye nuestro servicio de parches en vivo para los componentes críticos del sistema y soporte 24/7.

Blog TuxCare: Selección del Editor

• Actualización del panel de control de CVE y nuevas funciones
• Cómo afectan los cambios de certificado de Let's Encrypt a los clientes de Live Patching