Los parches sin reinicio para RHSA-2020:3861 están en camino

El año pasado, se descubrió una vulnerabilidad CVE-2019-19126 en glibc, donde la variable de entorno LD_PREFER_MAP_32BIT_EXEC no se ignora cuando se ejecutan binarios con la bandera setuid en arquitecturas x86_64. Esto permite a un atacante forzar al sistema a utilizar sólo la mitad de la memoria (haciendo creer al sistema que el software es sólo de 32 bits), reduciendo así la cantidad de memoria utilizada con la aleatorización de la disposición del espacio de direcciones (ASLR). Esta semana, una actualización para glibc ha estado disponible para Red Hat Enterprise Linux 7 desde el RHEL. Pero para que la actualización surta efecto, todos los servicios vinculados a la librería glibc deben ser reiniciados, o el sistema reiniciado. Actualmente estamos preparando parches sin reinicio que estarán listos para su distribución la próxima semana.

Acerca de la vulnerabilidad RHSA-2020:3861

Los paquetes glibc proporcionan las bibliotecas C estándar (libc), las bibliotecas de hilos POSIX (libpthread), las bibliotecas matemáticas estándar (libm) y el demonio de caché del servicio de nombres (nscd) utilizado por múltiples programas del sistema. Sin estas bibliotecas, el sistema Linux no puede funcionar correctamente.

La mayor amenaza de CVE-2019-19126 es la confidencialidad, aunque la complejidad del ataque es alta. La aplicación afectada ya debe tener otras vulnerabilidades utilizables para este fallo. En la arquitectura x86-64, la biblioteca GNU C (también conocida como glibc) anterior a la versión 2.31 no ignora la variable de entorno LD_PREFER_MAP_32BIT_EXEC durante la ejecución del programa después de una transición de seguridad. Esto permite a los atacantes locales restringir un posible mapeo de direcciones para las bibliotecas cargadas y así eludir ASLR para un programa setuid.

A pesar de que CVE-2019-19126 tiene una puntuación CVSS baja, sigue siendo arriesgado. Cualquiera que piense lo contrario se equivoca y se prepara para más trabajo, dolor y estrés del que debería. Cualquier riesgo es una posibilidad de pérdida o daño si una amenaza explota una vulnerabilidad (que es una debilidad en hardware o software). Por lo tanto, incluso una vulnerabilidad de baja gravedad puede dañar potencialmente su sistema.

¿Qué medidas paliativas existen?

Las principales distribuciones de Linux ya han sido parcheadas para solucionar esta vulnerabilidad. Los administradores de sistemas deben comprobar si hay un parche disponible para las distribuciones en uso dentro de su organización.

Red Hat ha publicado recientemente la actualización de glibc para Red Hat Enterprise Linux 7. Aquí puede encontrar las instrucciones del fabricante sobre cómo aplicar esta actualización. Tenga en cuenta que para que la actualización surta efecto, todos los servicios vinculados a la biblioteca glibc deben reiniciarse o el sistema debe reiniciarse.

Alternativamente, KernelCare+ puede instalar esta y otras actualizaciones de glibc en los procesos en ejecución, sin necesidad de reiniciar o reiniciar. Puede suscribirse a una prueba de 7 días de KernelCare+ y obtener las actualizaciones sin reiniciar a principios de la próxima semana.

Obtenga una prueba GRATUITA de 7 días con soporte de KernelCare