El kernel de Ubuntu se actualiza para solucionar una sola vulnerabilidad, pero de prioridad alta
El núcleo de Linux lo desarrolla Linux Torvalds, pero luego se encarga de mantenerlo parte de su equipo. Eso no es así en distribuciones como Ubuntu, ya que es Canonical quien se encarga de mantener el núcleo de su sistema operativo, lanzando actualizaciones de seguridad y mantenimiento cada cierto tiempo, la última vez el 17 de este mes. Lo han vuelto a hacer hace unas horas, lanzando nuevas versiones del kernel para las dos últimas versiones de Ubuntu.
Probablemente, si no se tratara de una vulnerabilidad de prioridad alta no habría escrito este artículo informando del fallo. Pero el bug que recoge el informe USN-4313-1, una solo, sí está etiquetado de esta manera, por lo que finalmente me he decidido a compartirlo con todos vosotros. La vulnerabilidad es la CVE-2020-8835 y, en un principio, afecta a Ubuntu 19.10 Eoan Ermine y Ubuntu 18.04 LTS Bionic Beaver. Recordamos aquí que Ubuntu 19.04 Disco Dingo ya no disfruta de soporte.
Kernel actualizado para corregir un fallo en Eoan Ermine y Bionic Beaver
El nombre o descripción de la vulnerabilidad menciona “eBPF Validación de entrada incorrecta [ZDI-CAN-10780]”, y en los detalles explica que:
Manfred Paul descubrió que el verificador bpf en el kernel de Linux no calculaba correctamente los límites de registro para ciertas operaciones. Un atacante local podría usar esto para exponer información confidencial (memoria del kernel) u obtener privilegios administrativos.
La gravedad asignada depende tanto de la facilidad de explotar el fallo como del daño que puede provocar. Lo bueno es que para poder explotar la vulnerabilidad hace falta tener acceso físico al equipo, lo que dicho de otro modo también significa que nadie puede hacer nada remotamente. Además y como es habitual, Canonical ha publicado la información después de publicar los nuevos paquetes que ya nos están esperando como actualización. Para que los cambios surtan efecto y estemos completamente protegidos, hará falta reiniciar el equipo.