Fecha del reporte: 20 de ago de 2010

Paquetes afectados: linux-2.6

Más información: Múltiples vulnerabilidades han sido descubiertas en el núcleo Linux que pueden conducir a la denegación de servicio o escalamiento de privilegios. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

• CVE-2009-4895: Kyle Bader reportó un problema en el subsistema tty que permite a usuarios locales crear una denegación de servicio (NULL pointer dereference).

• CVE-2010-2226: Dan Rosenberg reportó un problema en el sistema de ficheros xfs que permite a usuarios locales copiar y leer un fichero poseído por otro usuario, para el que solo tiene permisos de escritura, debido a la perdida de verificación de permisos en el ioctl XFS_SWAPEXT.

• CVE-2010-2240: Rafal Wojtczuk reportó un problema que permite a usuarios obtener privilegios escalados. Los usuarios deben comenzar con privilegios suficientes para ejecutar o conectar clientes a un servidor Xorg.

• CVE-2010-2248: Suresh Jayaraman descubrió un problema en el sistema de ficheros CIFS. Un servidor de ficheros malicioso puede establecer un valor "CountHigh" incorrecto resultando en una denegación de servicio (BUG_ON() assertion).

• CVE-2010-2521 Neil Brown reportó un problema en el código del servidor NFSv4. Un cliente malicioso puede desencadenar una denegación de servicio (Oops) en un servidor debido a un bug en la rutina read_buf().

• CVE-2010-2798: Bob Peterson reportó un problema en el sistema de ficheros GFS2. Un usuario del sistema de ficheros puede causar una denegación de servicio (Oops) vía ciertas operaciones de renombrado.

• CVE-2010-2803: Kees Cook reportó un problema en el subsistema DRM (Direct Rendering Manager). Usuarios locales con suficientes privilegios (usuarios locales de X o miembros del grupo 'video' en una instalación por defecto de Debian) pueden adquirir acceso a información sensible del núcleo.

• CVE-2010-2959: Ben Hawkes descubrió un problema en la familia de sockets AF_CAN. Una condición de desbordamiento de enteros puede permitir a usuarios locales obtener privilegios elevados.

• CVE-2010-3015: Toshiyuki Okajima reportó un problema en el sistema de ficheros ext4. Usuarios lcoales pueden desencadenar una denegación de servicio (BUG assertion) generando un conjunto especifico de operaciones del sistema de ficheros.

Esta actualización también incluye arreglos a una regresión introducida por una actualización previa.

Para la distribución estable (lenny), este problema ha sido arreglado en la versión 2.6.26-24lenny1.

Le recomendamos actualizar sus paquetes linux-2.6 y user-mode-linux.

Original (en inglés):