Un fallo en la implementación del protocolo RDS (Reliable Datagram Sockets) en el núcleo Linux puede ser explotado para lograr privilegios de root (o superusuario) o permisos para acceder al sistema de la víctima. Los atacantes pueden explotar la vulnerabilidad para lograr control remoto completo una vez que se hayan introducido en el sistema. Dan Rosenberg, que descubrió la vulnerabilidad, ha publicado un exploit -un pequeño código en C- con el propósito de demostrar cómo funciona dicha vulnerabilidad.
La vulnerabilidad afecta a varias versiones del kernel Linux, y se sabe que al menos desde el kernel 2.6.30 al 2.6.36-rc8 existe dicho problema.
Los desarrolladores de este componente han publicado ya un parche en el repositorio Git del núcleo que permite solucionar el problema, y es muy probable que los desarrolladores de distribuciones apliquen el parche de forma inmediata para ofrecer esa actualización de seguridad cuanto antes.
Si no es el caso, Rosenberg ha propuesto una forma alternativa de solucionarlo al menos provisionalmente. Para ello hay que ejecutar el comando (como root):
echo "alias net-pf-21 off" > /etc/modprobe.d/disable-rdsAunque tal y como indican en H-Online, la mayoría de los sistemas no se verán afectados por el problema ya que no utilizan este protocolo.
Rosenberg explicó además que el problema proviene de que las funciones en el protocolo RDS no comprueban correctamente las direcciones que se dan cuando los datos se copian desde la memoria del núcleo a la memoria del usuario. Como resultado, un usuario local puede indicar una dirección básica del núcleo para una estructura socket, lo que permite que se pueda escribir código en la memoria del núcleo… y luego ejecutar ese código con privilegios de ese núcleo cuando se hacen llamadas a ciertos sockets.
Fuentes:
-
Muyseguridad
- Security Focus
- Linux
Today
- Visto: 798
El Raspberry Pi 5 ha dado un gran salto en capacidad de memoria, alcanzando los 16GB de RAM por primera vez en su historia. Hasta ahora, la línea de computadoras de placa única de Raspberry Pi estaba limitada a 8GB, lo que restringía su uso en tareas más exigentes.
Blender es una de las herramientas más potentes y versátiles para la creación de contenido en 3D. Desde modelado hasta animación y renderizado, este software de código abierto se ha convertido en la opción favorita de artistas, diseñadores y desarrolladores de videojuegos.
Microsoft ha dado un paso significativo en el mundo de las bases de datos con el lanzamiento de DocumentDB, su nueva solución de NoSQL basada en PostgreSQL. Este proyecto de código abierto, presentado recientemente, busca ofrecer a los desarrolladores una alternativa sólida y compatible con MongoDB, con la flexibilidad de PostgreSQL como motor subyacente.
¿Te imaginas poder crear tu propia aplicación sin escribir una sola línea de código? Gracias a los avances en inteligencia artificial, ahora es posible desarrollar aplicaciones de manera intuitiva sin necesidad de ser programador.