Aviso de seguridad de Debian

DSA-4196-1 linux -- actualización de seguridad

Fecha del informe:
8 de may de 2018
Paquetes afectados:
linux
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 897427, error 897599, error 898067, error 898100.
En el diccionario CVE de Mitre: CVE-2018-1087, CVE-2018-8897.
Información adicional:

Se han descubierto varias vulnerabilidades en el kernel Linux que pueden dar lugar a elevación de privilegios o a denegación de servicio.

  • CVE-2018-1087

    Andy Lutomirski descubrió que la implementación de KVM no gestionaba correctamente las excepciones #DB mientras estaban aplazadas por MOV SS/POP SS, lo que permitía que un usuario sin privilegios de un huésped KVM provocara la caída del huésped o, potencialmente, elevara sus privilegios.

  • CVE-2018-8897

    Nick Peterson, de Everdox Tech LLC, descubrió que las excepciones #DB aplazadas por MOV SS o por POP SS no se gestionan correctamente, permitiendo que un usuario sin privilegios provoque la caída del kernel y ocasione denegación de servicio.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 3.16.56-1+deb8u1. Esta actualización incluye correcciones para varias regresiones de la 3.16.56-1 publicada en DSA-4187-1 (cf. #897427, #898067 y #898100).

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 4.9.88-1+deb9u1. Se revierte temporalmente la corrección para CVE-2018-1108 aplicada en DSA-4188-1 debido a varias regresiones, cf. #897599.

Le recomendamos que actualice los paquetes de linux.

Para información detallada sobre el estado de seguridad de linux consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/linux