Aviso de seguridad de Debian
DSA-4313-1 linux -- actualización de seguridad
- Fecha del informe:
- 8 de oct de 2018
- Paquetes afectados:
- linux
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2018-15471, CVE-2018-18021.
- Información adicional:
-
Se han descubierto varias vulnerabilidades en el kernel Linux que pueden dar lugar a elevación de privilegios, denegación de servicio o fugas de información.
- CVE-2018-15471 (XSA-270)
Felix Wilhelm, de Google Project Zero, descubrió un defecto en la gestión de los hashes por parte del módulo del kernel Linux xen-netback. Una interfaz maliciosa o defectuosa puede provocar que el (habitualmente con privilegios) backend realice accesos a memoria fuera de límites, dando lugar, potencialmente, a elevación de privilegios, denegación de servicio o fugas de información.
- CVE-2018-18021
Se descubrió que el subsistema KVM en la plataforma arm64 no gestiona correctamente la ioctl KVM_SET_ON_REG. Un atacante que pueda crear máquinas virtuales sobre KVM puede aprovechar este defecto para denegación de servicio («hypervisor panic») o elevación de privilegios (redireccionamiento arbitrario del flujo de control del hipervisor con control total de los registros).
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 4.9.110-3+deb9u6.
Le recomendamos que actualice los paquetes de linux.
Para información detallada sobre el estado de seguridad de linux consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/linux
- CVE-2018-15471 (XSA-270)