Canonical lanza muchas actualizaciones menores del kernel de Ubuntu para solucionar diferentes fallos de seguridad. Muchos de estos fallos aparecen en versiones no LTS del kernel, y es que Canonical lanza novedades, como mínimo, dos veces cada año, en abril y octubre. El sistema operativo en el que se basa es más robusto, en parte porque introduce las novedades más despacio. Pero eso no quiere decir que esté libre de fallos y Debian lanzó ayer nuevas versiones del kernel para su sistema operativo.
Debian 10 fue lanzado a principios de este mes y ya ha recibido su primera actualización de seguridad del kernel. Se trata de un fallo descubierto por Jann Horn, de Google Project Zero, una iniciativa de seguridad de la compañía del buscador que, sinceramente, no sé si es más famosa por ayudar a encontrar fallos de seguridad o por publicarlos antes de que los creadores del software en cuestión hayan corregido el fallo. En cualquier caso, el fallo descubierto por Horn ha sido catalogado de severidad alta.
Debian 10 recibe la primera actualización de seguridad de su kernel
El fallo que corrige la nueva versión del kernel es el CVE-2018-13272 y describe un problema de seguridad que “un atacante local podría usar para obtener acceso de súper usuario (root) aprovechándose de ciertos escenarios con una relación de proceso padre-hijo, donde el padre suelta privilegios y llama a execve (potencialmente permitiendo el control de un atacante)“. El fallo afecta a Buster, Stretch y Jessie.
Las nuevas versiones del kernel son 19.37-5+deb10u1 en “Buster”, 4.9.168-1+deb9u4 en “Stretch” y 3.16.70-1+deb8u1 “Jessie”. La versión de Debian 10 también incluye un parche para una regresión introducida en el parche original para la vulnerabilidad CVE-2019-11478 en la implementación de la cola de retransmisión TCP. Como podíamos esperar en un fallo de severidad crítica, Debian Project recomienda actualizar tan pronto en cuanto podamos.
Fuente: ubunlog
