Zero Day Initiative (ZDI) , una firma de investigación de seguridad de día cero, anunció un nuevo error de seguridad del kernel de Linux; esta vulnerabilidad permite a los usuarios remotos autenticados divulgar información confidencial y ejecutar código en versiones vulnerables del kernel de Linux.
¿Qué tan malo es?
El ZDI lo calificó con un 10 perfecto en la escala de 0 a 10 del Sistema de puntuación de vulnerabilidad (CVSS). Ahora, el hueco es «solo» un 9.6. Eso todavía cuenta como un ¡Repáralo ahora mismo!».
El problema radica en el servidor de bloque de mensajes del servidor (SMB) en el kernel de Linux 5.15, ksmbd . La falla específica existe dentro del procesamiento de los comandos SMB2_TREE_DISCONNECT. El problema se debe a la falta de validación de la existencia de un objeto antes de realizar operaciones en el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del kernel.
Este nuevo programa, que se introdujo en el kernel en 2021, fue desarrollado por Samsung. Su objetivo era ofrecer un rendimiento rápido de servicio de archivos SMB3 . SMB se usa en Windows en Linux, a través de Samba como un protocolo de servidor de archivos vital. Ksmbd no pretende reemplazar a Samba sino complementarlo. Los desarrolladores de Samba y ksmbd están trabajando para que los programas funcionen en conjunto.
Cualquier distribución que use el kernel de Linux 5.15 o superior es potencialmente vulnerable. Esto incluye Ubuntu 22.04 y sus descendientes; DeepinLinux 20.3 ; y Slackware 15 . Para propósitos de servidor, Ubuntu es el más preocupante. Otras distribuciones empresariales, como la familia Red Hat Enterprise Linux (RHEL) , no utilizan el kernel 5.15.
COMPROBACIÓN
Para ver qué versión del kernel está ejecutando.
uname -r
Luego, si está ejecutando el kernel susceptible, para ver si el módulo vulnerable está presente y activo, hacemos:
modinfo ksmb
Lo que quiere ver es que no se encontró el módulo. Si está cargado y activo, tenes que actualizar al kernel de Linux 5.15.61. Desafortunadamente, muchas distribuciones aún no se han movido a esta versión del kernel.
Antes de este episodio, Kees Cook, un desarrollador senior de seguridad del kernel de Linux, escribió: «Algunas de estas fallas son propiedades de seguridad del sistema de archivos bastante fundamentales que no se estaban probando, además del caso perturbador de tener desbordamientos de búfer en un servidor de sistema de archivos en el kernel. .» Cook concluyó: «Estoy preocupado por la calidad del código aquí, y creo que algo debe cambiar en los procesos de revisión y prueba».
Algunas personas se han preguntado si esto es tan importante, entonces ¿por qué no se le ha dado un número de vulnerabilidades y exposiciones comunes (CVE)? Greg Kroah-Hartmann, el mantenedor del kernel de Linux de la rama estable, explicó: » Los desarrolladores del kernel no trabajan con CVE en absoluto, ya que no son tan relevantes en su mayor parte para los problemas del kernel». Cierto, «Algunas empresas de Linux aún insisten en asignar CVE, pero eso es principalmente para ayudar a habilitar sus procesos de ingeniería internos».