El Viernes, 23 de Junio de 2006 05:12, Felix Perez escribió: > Hola amigos alguien tiene mayor informacion con respecto a esto y si > nos afecta mucho a los usuarios de sarge. Depende... que kernels usas? 2.4 o 2.6? Tiene pinta de que solo afectan a kernels 2.6 > " > Se han identificado diversas vulnerabilidades en el kernel de Linux, > que pueden ser aprovechadas por atacantes para provocar condiciones de > denegación de servicio. > Es normal, todo proyectot iene una serie de fallos, y dia a dia se descubren nuevos. De todas formas, los fallos que pareces describir son menores, al parecer ninguno permite escalar privilegios, asi que en principio no debes temer por tu seguridad, pues lo unico que parecen conseguir es colgar el coputador. > El primero de los problemas es una condición de carrera en el script > "posix-cpu-timers.c" que no evita que otra CPU una el contador de > tiempo a un proceso ya existente, lo que podría ser empleado por > usuarios maliciosos para provocar una denegación de servicio. > > El segundo fallo se debe a errores en "powerpc/kernel/signal_32.c" que > pueden permitir que el espacio de usuario provoque una parada de la > máquina en Kernels 32-bits. > Este concretamente suena a que solo afecta a los procesadores powerpc. Ademas, ya indica que se tiene que ejecutar una aplicacion en espacio de usuario que se aproveche del bug. (Vamos, un usuario con malas pulgas). > La última de las vulnerabilidades reside en un bucle infinito en > "netfilter/xt_sctp.c", lo que podría ser empleado por atacantes para > consumir todos los recursos de memoria disponibles, con la > consiguiente condición de denegación de servicio. > > Se han publicado las versiones actualizadas 2.6.16.21 y 2.6.17.1 del > kernel Linux, disponibles en la dirección http://www.kernel.org > " A pesar de que no creo que tengas que alarmarte, si que comparto la opinion de muchos de que el numero de bugs en la rama 2.6 es enorme comparada con lo que nos tenia acostumbrado linux en ramas anteriores (2.4, 2.2 y mas no llego, no fui un early adopter). Como consecuencia de esto, hay desarrolladores del kernel que apuestan por hacer una release de mantenimiento, solo para eliminar bugs. Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] [http://www.ayanami.es] - No enviarás correos en HTML a La Lista. - No harás top-posting, responderás siempre debajo del mail original. - No harás Fwd, a La Lista, siempre reply.
Attachment:
pgpfi8_8slTfH.pgp
Description: PGP signature