Actualización de seguridad DSA-5448-1 linux [alta]. Se han descubierto varias vulnerabilidades en el kernel de Linux que pueden provocar una escalada de privilegios, denegación de servicio o fugas de información.

• CVE-2023-2124: la falta de validación de metadatos puede provocar la denegación de servicio o una posible escalada de privilegios si se monta una imagen de disco XFS corrupta.
• CVE-2023-2156: la implementación del protocolo IPv6 RPL en el kernel de Linux no manejaba correctamente los datos proporcionados por el usuario, lo que generaba una aserción desencadenable. Un atacante remoto no autenticado puede aprovechar esta falla para denegar el servicio.
• CVE-2023-2269: el manejo inadecuado del bloqueo en la implementación del mapeador de dispositivos puede resultar en la denegación del servicio.
• CVE-2023-3090: la falta de inicialización en la red ipvlan puede conducir a una vulnerabilidad de escritura fuera de los límites, lo que resulta en una denegación de servicio o potencialmente en la ejecución de código arbitrario.
• CVE-2023-3212: la falta de validación en el sistema de archivos GFS2 podría resultar en la denegación de servicio a través de una falta de referencia de puntero NULL al montar un sistema de archivos GFS2 mal formado.
• CVE-2023-3268: un acceso a la memoria fuera de los límites en relayfs podría provocar una denegación de servicio o una fuga de información.
• CVE-2023-3269: el manejo incorrecto de bloqueos para acceder y actualizar áreas de memoria virtual (VMA) puede resultar en una escalada de privilegios.
• CVE-2023-3390: una falla de use-after-free en el subsistema netfilter causada por un manejo incorrecto de la ruta de error puede resultar en una denegación de servicio o una escalada de privilegios.
• CVE-2023-31084: el controlador DVB Core no maneja correctamente el bloqueo de ciertos eventos, lo que permite que un usuario local provoque una denegación de servicio.
• CVE-2023-32250 y CVE-2023-32254: dos condiciones de carrera en KSMBD, un servidor kernel que implementa el protocolo SMB3, lo que podría provocar la denegación de servicio o, potencialmente, la ejecución de código arbitrario.
• CVE-2023-35788: vulnerabilidad de escritura fuera de los límites en el clasificador de flores que puede provocar la denegación de servicio o la ejecución de código arbitrario.

Actualización de seguridad DSA-5447-1 mediawiki [crítica]. Se descubrieron varios problemas de seguridad en MediaWiki, un motor de sitios web para el trabajo colaborativo, que podría dar lugar a secuencias de comandos entre sitios, eludir las protecciones contra el vandalismo o la divulgación de información.
VE-2023-29141 , CVE-2023-36674 , CVE-2023-36675 .

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es