Un aviso de Cisco emitido el pasado viernes, 13 de octubre, avisó sobre una vulnerabilidad de escalada de privilegios locales en la arquitectura avanzada de sonido Linux (ALSA).
El error se llamó CVE-2017-15265, pero su entrada en Mitre entry estaba marcada como “reservada” en el momento de la redacción. Cisco, sin embargo, dijo esto antes de la publicación:
“La vulnerabilidad se debe a un error de memoria después de usar en la interfaz del secuenciador ALSA de la aplicación afectada. Un atacante podría aprovechar esta vulnerabilidad ejecutando una aplicación diseñada en un sistema específico. Un exploit exitoso podría permitir al atacante obtener privilegios elevados en el sistema objetivo “.
El error primero se hizo público cuando el parche se combinó con el árbol ALSA git, de acuerdo con esta discusión en el Bugzilla de SUSE.
Si bien es solo explotable a nivel local, la escalada de privilegios es lo que le valió al error una clasificación de severidad “alta”, y por supuesto todos los que utilizan una distribución descendente que incrusta a ALSA vulnerable deberán enviar parches.
Más información
Fuente: maslinux
