El Proyecto Debian lanzó hoy una nueva actualización de seguridad del kernel de Linux para su serie estable de sistema operativo Debian GNU/Linux 10 “Buster” para abordar varias vulnerabilidades y algunos errores.

La nueva actualización del kernel de Linux para Debian GNU/Linux 10 está aquí para corregir no menos de 11 vulnerabilidades de seguridad, que comentaremos a continuación.

  • CVE-2020-28374 , una falla crítica descubierta por David Disseldorp en la implementación de destino LIO SCSI del kernel de Linux , lo que permite a un atacante remoto con acceso a al menos un iSCSI LUN en un entorno de almacenamiento múltiple para exponer información confidencial o modificar datos.
  • CVE-2020-36158 , una falla de desbordamiento de búfer descubierta en el controlador de Wi-Fi mwifiex que podría permitir a atacantes remotos ejecutar código arbitrario a través de un valor SSID largo.
  • CVE-2021-20177 , una falla descubierta en la implementación de coincidencia de cadenas del kernel de Linux dentro de un paquete, que podría permitir que un usuario privilegiado con privilegios de root o CAP_NET_ADMIN cause un pánico en el kernel al insertar reglas de iptables.
  • CVE-2020-27825 , una falla de uso después de libre que se encuentra en la lógica de cambio de tamaño del búfer de anillo ftrace, que podría resultar en la denegación de servicio o la fuga de información.
  • CVE-2020-29569 , descubierta por Olivier Benjamin y Pawel Wieczorkiewicz en el kernel de Linux a través de 5.10.1, lo que permite que un huésped que se comporte mal desencadene un bloqueo de dom0 conectando y desconectando continuamente un bloque frontend.
  • CVE-2021-3347 , descubiertos en el kernel de Linux hasta la versión 5.10.11 y que permiten a un usuario sin privilegios bloquear el kernel o escalar sus privilegios.
  • Gracias a Jann Horn de Google Project Zero, se parchearon otras dos fallas CVE-2020-29660 permite a un atacante local montar un ataque de lectura después de libre contra TIOCGSID. Y CVE-2020-29661 podría ser utilizado por un atacante local para corrupción de memoria o escalada de privilegios.
  • CVE-2020-27815 , una falla descubierta en el código del sistema de archivos JFS que podría permitir que un atacante local con la capacidad de establecer atributos extendidos cause una denegación de servicio.
  • CVE- 2020-29568 , un problema descubierto por Michael Kurth y Pawel Wieczorkiewicz en Xen hasta 4.14.x que permite a un invitado activar un OOM en el backend al actualizar una ruta observada.
  • CVE-2020-27830, una falla de desreferencia de puntero NULL descubierta por Shisong Qin en el controlador principal del lector de pantalla Speakup.

Es necesario hacer la actualización para subsanar nuestros sistemas Debian, recordá que si sos nuevo podes usar los siguientes comandos como root:

apt update && apt full-upgrade

Deja un comentario