viernes, 6 de febrero de 2009

Denegación de servicio local en el kernel de Linux 2.6.x

Se han encontrado dos fallos de seguridad en kernel de Linux 2.6.x que podrían ser aprovechados por un atacante local para causar una denegación de servicio.

El primero de los problemas reside en un fallo en la función inotify_read de fs/notify/inotify/inotify_user.c, que podría permitir a un usuario local provocar una denegación de servicio causada por un fallo de condición de carrera.

Además también se ha detectado una vulnerabilidad en la función make_indexed_dir de fs/ext3/namei.c que podría ser aprovechada por un atacante local para hacer que el sistema deje de responder, por medio de un sistema Ext3 especialmente manipulado.

Las vulnerabilidades han sido corregidas en las versiones 2.6.27.14 y 2.6.28.3, disponibles desde:
http://www.kernel.org/pub/linux/kernel/v2.6/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

different oops & panic on accessing an intentionally corrupted ext4 fs image http://bugzilla.kernel.org/show_bug.cgi?id=12430

No hay comentarios:

Publicar un comentario en la entrada