linux-sec-feat

Se describe como una falla de desbordamiento de búfer basada en montón (CVE 2022-0185). Según Ubuntu, la funcionalidad de contexto del sistema de archivos en el kernel de Linux contenía una vulnerabilidad de subdesbordamiento de enteros, lo que provocaba una escritura fuera de los límites. Un atacante local podría usar esto para provocar una denegación de servicio (caída del sistema) o ejecutar código arbitrario.

Como señala The Register , el descubrimiento también se produce cuando Ubuntu 21.04 llegó al final de su vida útil , por lo que en lugar de aplicar la mitigación de Ubutu a los servidores que ejecutan esta versión, los administradores de Linux deberían actualizarlos a la versión 21.10 y aplicarle un parche.

Según 9to5 Linux , la vulnerabilidad de seguridad afecta a todas las versiones compatibles de Ubuntu, incluidos los sistemas Ubuntu 21.10 (llamados Impish Indri) que ejecutan Linux kernel 5.13, Ubuntu 21.04 (Hirsute Hippo) que ejecutan Linux kernel 5.11, así como Ubuntu 20.04 LTS (Focal Fossa) y sistemas Ubuntu 18.04 LTS (Bionic Beaver) que ejecutan Linux kernel 5.4 LTS.

Red Hat dice que el problema afecta los paquetes del kernel de Linux enviados con Red Hat Enterprise Linux 8.4 GA en adelante. Las versiones anteriores de Red Hat Enterprise Linux no se ven afectadas.

En Red Hat OpenShift Container Platform, donde se usa el SCC restringido predeterminado (restricción de contexto de seguridad), este problema no se puede explotar.

Para mitigar el problema en las instalaciones de Red Hat Enterprise Linux 8 que no ejecutan contenedores, los administradores pueden deshabilitar los espacios de nombres de usuario configurando user.max_user_namespaces en 0. Tenga en cuenta que en las implementaciones en contenedores, como Red Hat OpenShift Container Platform, esta mitigación no se puede implementar. aplicado.

Se han publicado correcciones para Red Hat Enterprise Linux 8 y Red Hat Enterprise Linux 8.4 Extended Update Support.

Más información: 

Según Ubuntu: https://ubuntu.com/security/CVE-2022-0185 

Según 9to5linux https://9to5linux.com/new-linux-kernel-vulnerability-patched-in-all-supported-ubuntu-systems-update-now

Según RedHat: https://access.redhat.com/security/cve/CVE-2022-0185

 

Fuente:  somoslibres

¿Quién está en línea?

Hay 30648 invitados y ningún miembro en línea