Tre (quasi) vulnerabilità nel kernel Linux

Vilmos Nebehaj ha scoperto tre vulnerabilità del kernel Linux, confermate da Chris Wright, uno dei capi del team di sviluppo, e dallo stesso Linus Torvalds.

Le tre vulnerabilità, di cui una è comunque da definirsi veniale, potrebbero, sotto certe condizioni, lasciare all´utente locale la possibilità di accedere ad aree di memoria riservate, effettuare un attacco Denial of Service, o addirittura mandare il kernel in crash.

Le due vulnerabilità più gravi riguardano la mancata gestione di un NULL-Pointer nel protocollo SCTP, un´alternativa poco usata a TCP e un underflow (l´equivalente verso il basso dell´overflow) nella chiamata di sistema cpuset_task_read.

La vulnerabilità veniale, invece, è rappresentata da un errato comportamento con i seed per la generazione dei numeri casuali, rendendo potenzialmente più deboli le applicazioni di crittografia e tutti quei programmi che fanno uso di numeri random.

Tirando le somme, si tratta di vulnerabilità difficilmente sfruttabili e già tappate con il rilascio del kernel 2.6.21.4. A meno che non abbiate compilato il kernel a mano gli aggiornamenti arriveranno direttamente dalla vostra distribuzione preferita.