miércoles, 22 de marzo de 2006

Actualización de la rama 2.6 del kernel de Linux

Se ha publicado una nueva actualización de la rama 2.6 del kernel
de Linux que corrige dos potenciales problemas de seguridad.

Un desbordamiento de enteros en la función do_replace de Netfilter.
Esto puede ser aprovechado para provocar un desbordamiento de búfer
y permitir que se seobreescriba memoria del núcleo.

No se reserva suficiente memoria en drivers/usb/gadget/rndis.c a la
hora de manejar la respuesta NDIS a OID_GEN_SUPPORTED_LIST. Esto
puede causar la corrupción de la memoria del núcleo.

Ambos problemas tienen un potencial impacto desconocido.

Se recomienda actualizar a la versión 2.6.16 descargable desde
www.kernel.org.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux 2.6.16
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.16

[NETFILTER]: Fix possible overflow in netfilters do_replace()
http://www.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=ee4bb818ae35f68d1f848eae0a7b150a38eb4168

[PATCH] USB: Gadget RNDIS fix alloc bug. (buffer overflow)
http://www.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=8763716bfe4d8a16bef28c9947cf9d799b1796a5