Red
Hat ha publicado una actualización del kernel para toda la familia Red HatEnterprise Linux 6 que solventa cuatro nuevas vulnerabilidades que podrían ser
aprovechadas por atacantes locales para elevar sus privilegios en el sistema,
acceder a información sensible o provocar fugas de memoria.
Los problemas corregidos se deben
a un desbordamiento de búfer en la forma en la forma en que se manejan las
peticiones SNMP IOCTL con tamaño fuera de límites (CVE-2013-6381)
que podría permitir a un usuario local elevar sus privilegios en el sistema. Un
fallo en la forma en que el subsistema ptrace del kernel interpreta el valor
devuelto por la función 'get_dumpable()' (CVE-2013-2929),
podría permitir a un atacante local sin privilegios evitar restricciones ptrace
y obtener información sensible.
Por ultimo, dos problemas (CVE-2013-7263
y CVE-2013-7265)
en determinados manejadores de protocolo en la implementación de red del kernel
asignan el valor addr_len sin inicializar la estructura de datos asociada. Esto
podría permitir a un usuario local sin privilegios provocar pérdidas de memoria
del núcleo.
Además se han solucionado
múltiples fallos de menor importancia. Ésta actualización está disponible desde
Red Hat Network.
Más información:
Important: kernel security and bug fix update
Antonio Ropero
Twitter: @aropero