Una vulnerabilidad crítica (CVE-2024-0646, CVSS 7.8) ha sido descubierta en el subsistema Transport Layer Security (kTLS) del kernel de Linux, permitiendo a un usuario local escalar privilegios del sistema o interrumpir las operaciones. Esta falla afecta a una función esencial para la comunicación segura en Internet, incluyendo navegación web, correo electrónico y otras aplicaciones.
CVE-2024-0646: El problema reside en el manejo inadecuado de la memoria durante el uso de la función splice() en kTLS. El código no actualiza correctamente la contabilidad interna de los búferes de recopilación de dispersión de texto sin formato, permitiendo un volcado de memoria. Esto puede ser explotado por atacantes para sobrescribir contenido de páginas web, incluyendo páginas de archivos a las que no deberían tener acceso de escritura, facilitando la ejecución de código con privilegios elevados.
Productos Afectados
- Linux Kernel versión 6.7-rc5 y anteriores.
Solución
- Actualizar el kernel de Linux a la versión 6.7-rc5 o superior, donde se ha corregido esta vulnerabilidad.
Recomendaciones
- Aplicar parches y actualizaciones de seguridad relacionados con su distribución de Linux.
- Para distribuciones que no han liberado la actualización del kernel, consultar los avisos de seguridad específicos del proveedor para obtener parches aplicables.
Referencias