Vulnerabilidad en el kernel Linux

El pasado lunes 12 de mayo se daba a conocer una vulnerabilidad en el kernel Linux que afecta a las versiones 2.6.31 (del 2009) hasta la actual 3.14.3 y 3.15 que aún se encuentran en desarrollo. Se trata de una vulnerabilidad de elevación de privilegios. Es decir, el atacante que la explote correctamente, puede ganar permisos hasta convertirse en root. También producir un desbordamiento de memoria mediante un ataque DoS, dando por resultado un kernel panic. El registro de la vulnerabilidad tiene el número Mitre CVE-2014-0196.

Básicamente, la vulnerabilidad consiste en enviar más de una orden de escritura a una tty para generar un buffer overflow por medio de la función n_tty_write(). De esta manera, escribiendo más allá de los límites asignados en la memoria, podríamos insertar lo que queramos en la misma sin limitaciones.

Debian publicó un parche el miércoles pasado. Recomendamos actualizar a la brevedad.