TLP:CLEAR PAP:WHITE
USN-6261-1: vulnerabilidades del kernel de Linux (IoT)
Descripción
Se solucionaron varios problemas de seguridad en el kernel de Linux.
Se descubrió que el controlador de red IP-VLAN para el kernel de Linux no inicializaba correctamente la memoria en algunas situaciones, lo que generaba una vulnerabilidad de escritura fuera de los límites. Un atacante podría usar esto para causar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-3090.
Se descubrió que la implementación de OverlayFS en el kernel de Ubuntu Linux no realizaba correctamente las comprobaciones de permisos en determinadas situaciones. Un atacante local posiblemente podría usar esto para obtener privilegios elevados.
CVE-2023-32629.
Se descubrió que el subsistema netfilter en el kernel de Linux no manejó correctamente algunas condiciones de error, lo que generó una vulnerabilidad use after free. Un atacante local podría usar esto para causar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-3390.
Se descubrió que el subsistema netfilter en el kernel de Linux no manejaba correctamente cierto tipo de datos de puntero, lo que generaba una vulnerabilidad de escritura fuera de los límites. Un atacante privilegiado podría usar esto para provocar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-35001.
Se descubrió que el controlador de red IP-VLAN para el kernel de Linux no inicializaba correctamente la memoria en algunas situaciones, lo que generaba una vulnerabilidad de escritura fuera de los límites. Un atacante podría usar esto para causar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-3090.
Se descubrió que la implementación de OverlayFS en el kernel de Ubuntu Linux no realizaba correctamente las comprobaciones de permisos en determinadas situaciones. Un atacante local posiblemente podría usar esto para obtener privilegios elevados.
CVE-2023-32629.
Se descubrió que el subsistema netfilter en el kernel de Linux no manejó correctamente algunas condiciones de error, lo que generó una vulnerabilidad use after free. Un atacante local podría usar esto para causar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-3390.
Se descubrió que el subsistema netfilter en el kernel de Linux no manejaba correctamente cierto tipo de datos de puntero, lo que generaba una vulnerabilidad de escritura fuera de los límites. Un atacante privilegiado podría usar esto para provocar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario.
CVE-2023-35001.
Productos afectados
linux-iot - Kernel de Linux para plataformas IoT
Riesgo
Alto
Soluciones
El problema se puede corregir actualizando su sistema a las siguientes versiones del paquete:
Ubuntu 20.04 > linux-imagen-5.4.0-1018-iot - 5.4.0-1018.19
Después de una actualización estándar del sistema, debe reiniciar su computadora para realizar todos los cambios necesarios.
Ubuntu 20.04 > linux-imagen-5.4.0-1018-iot - 5.4.0-1018.19
Después de una actualización estándar del sistema, debe reiniciar su computadora para realizar todos los cambios necesarios.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es