Re: vulnerabilidades del kernel

["Felix Perez" <felix.listadebian@gmail.com>]

2006/6/23, Aritz Beraza Garayalde [Rei] <aritz.beraza@gmail.com>:
> El Viernes, 23 de Junio de 2006 05:12, Felix Perez escribió:
> > Hola amigos alguien tiene mayor informacion con respecto a esto y si
> > nos afecta mucho a los usuarios de sarge.
>
> Depende... que kernels usas? 2.4 o 2.6? Tiene pinta de que solo afectan a
> kernels 2.6
>
> > "
> > Se han identificado diversas vulnerabilidades en el kernel de Linux,
> > que pueden ser aprovechadas por atacantes para provocar condiciones de
> > denegación de servicio.
> >
>
> Es normal, todo proyectot iene una serie de fallos, y dia a dia se
> descubren nuevos. De todas formas, los fallos que pareces describir son
> menores, al parecer ninguno permite escalar privilegios, asi que en
> principio no debes temer por tu seguridad, pues lo unico que parecen
> conseguir es colgar el coputador.
>
> > El primero de los problemas es una condición de carrera en el script
> > "posix-cpu-timers.c" que no evita que otra CPU una el contador de
> > tiempo a un proceso ya existente, lo que podría ser empleado por
> > usuarios maliciosos para provocar una denegación de servicio.
> >
> > El segundo fallo se debe a errores en "powerpc/kernel/signal_32.c" que
> > pueden permitir que el espacio de usuario provoque una parada de la
> > máquina en Kernels 32-bits.
> >
>
> Este concretamente suena a que solo afecta a los procesadores powerpc.
> Ademas, ya indica que se tiene que ejecutar una aplicacion en espacio de
> usuario que se aproveche del bug. (Vamos, un usuario con malas pulgas).
>
> > La última de las vulnerabilidades reside en un bucle infinito en
> > "netfilter/xt_sctp.c", lo que podría ser empleado por atacantes para
> > consumir todos los recursos de memoria disponibles, con la
> > consiguiente condición de denegación de servicio.
> >
> > Se han publicado las versiones actualizadas 2.6.16.21 y 2.6.17.1 del
> > kernel Linux, disponibles en la dirección http://www.kernel.org
> > "
>
> A pesar de que no creo que tengas que alarmarte, si que comparto la opinion
> de muchos de que el numero de bugs en la rama 2.6 es enorme comparada con
> lo que nos tenia acostumbrado linux en ramas anteriores (2.4, 2.2 y mas no
> llego, no fui un early adopter). Como consecuencia de esto, hay
> desarrolladores del kernel que apuestan por hacer una release de
> mantenimiento, solo para eliminar bugs.

Gracias Aritz,  uso sarge 3.1 con kernel 2.6.8, siempre uso la version
estable y luego voy actualizando, ya que no soy de los que trastea
mucho con el sistema, me interesa mas que funcione bien y seguro.
en el sitio de debian aun no se ha publicado nada.  Pero por lo que me
dices quedo mas tranquilo.

Gracias de nuevo.
> Saludos
> Aritz Beraza [Rei]
> --
> Aritz Beraza Garayalde [Rei]   [http://www.ayanami.es]
> - No enviarás correos en HTML a La Lista.
> - No harás top-posting, responderás siempre debajo del mail original.
> - No harás Fwd, a La Lista, siempre reply.


--
usuario linux  #274354
normas de la lista: http://wiki.debian.org/NormasLista