TLP:CLEAR PAP:WHITE
Vulnerabilidades del kernel de Linux (OEM) en Ubuntu
Descripción
Se solucionaron varios problemas de seguridad en el kernel de Linux.
CVE-2023-2124. Se descubrió que la implementación del sistema de archivos XFS en el kernel de Linux no realizaba correctamente la validación de metadatos al montar ciertas imágenes. Un atacante podría usar esto para diseñar especialmente una imagen del sistema de archivos que, cuando se monta, podría causar una denegación de servicio (caída del sistema).
CVE-2023-3090. Se descubrió que el controlador de red IP-VLAN para el kernel de Linux no inicializaba correctamente la memoria en algunas situaciones, lo que generaba una vulnerabilidad de escritura fuera de los límites. Un atacante podría usar esto para causar una enegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-31084. Se descubrió que el controlador DVB Core en el kernel de Linux no manejaba correctamente los eventos de bloqueo en ciertas situaciones. Un atacante local podría usar esto para provocar una denegación de servicio (interbloqueo del kernel).
CVE-2023-3141. Se descubrió que el controlador del lector de tarjetas Ricoh R5C592 MemoryStick en el kernel de Linux contenía una condición de carrera durante la descarga del módulo, lo que generaba una vulnerabilidad de uso después de la liberación. Un atacante local podría usar esto para causar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-3212. Se descubrió que la implementación del sistema de archivos GFS2 en el kernel de Linux podría intentar quitar la referencia a un puntero nulo en algunas situaciones. Un atacante podría usar esto para construir una imagen GFS2 maliciosa que, cuando se monta y se opera, podría causar una denegación de servicio (caída del sistema).
CVE-2023-2124. Se descubrió que la implementación del sistema de archivos XFS en el kernel de Linux no realizaba correctamente la validación de metadatos al montar ciertas imágenes. Un atacante podría usar esto para diseñar especialmente una imagen del sistema de archivos que, cuando se monta, podría causar una denegación de servicio (caída del sistema).
CVE-2023-3090. Se descubrió que el controlador de red IP-VLAN para el kernel de Linux no inicializaba correctamente la memoria en algunas situaciones, lo que generaba una vulnerabilidad de escritura fuera de los límites. Un atacante podría usar esto para causar una enegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-31084. Se descubrió que el controlador DVB Core en el kernel de Linux no manejaba correctamente los eventos de bloqueo en ciertas situaciones. Un atacante local podría usar esto para provocar una denegación de servicio (interbloqueo del kernel).
CVE-2023-3141. Se descubrió que el controlador del lector de tarjetas Ricoh R5C592 MemoryStick en el kernel de Linux contenía una condición de carrera durante la descarga del módulo, lo que generaba una vulnerabilidad de uso después de la liberación. Un atacante local podría usar esto para causar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-3212. Se descubrió que la implementación del sistema de archivos GFS2 en el kernel de Linux podría intentar quitar la referencia a un puntero nulo en algunas situaciones. Un atacante podría usar esto para construir una imagen GFS2 maliciosa que, cuando se monta y se opera, podría causar una denegación de servicio (caída del sistema).
Productos afectados
linux-oem-6.1 - Kernel de Linux para sistemas OEM
Riesgo
Alto
Soluciones
El problema se puede corregir actualizando su sistema a las siguientes versiones delpaquete:
Ubuntu 22.04
Ubuntu 22.04
- linux-image-oem-22.04c - 6.1.0.1016.16
- linux-imagen-6.1.0-1016-oem - 6.1.0-1016.16
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es