Sin lugar a dudas, la noticia más importante que publicaremos hoy es que Canonical ha lanzado Ubuntu 19.10 Eoan Ermine. Que conozcamos el nombre de un sistema que se lanzará dentro de seis meses o que han corregido varias vulnerabilidades en el kernel de Ubuntu quedará en un segundo plano. Pero no podemos quedarnos de brazos cruzados esperando, la blogosfera no debe parar, y esto último es lo que ha pasado en las últimas horas.
En total, la nueva versión del kernel ha corregido 9 vulnerabilidades recogidas en el informe USN-4157-1. En el momento de escribir estas líneas, el único sistema operativo afectado que mencionan es Ubuntu 19.04, pero algunos de los fallos están marcados como «pendientes» en Ubuntu 18.04 y Ubuntu 16.04. En los nueve casos, Ubuntu 19.10 aparece como «no afectado».
El kernel de Eoan Ermine no está afectado
Los fallos, etiquetados como de prioridad baja o media, son los siguientes:
- CVE-2019-14814, CVE-2019-14815 y CVE-2019-14816: el controlador del dispositivo Wi-Fi Marvell en el kernel de Linux no realizaba correctamente la verificación de límites, lo que provocaba un desbordamiento del heap. Un atacante local podría usar esto para causar una denegación de servicio (bloqueo del sistema) o posiblemente ejecutar código arbitrario.
- CVE-2019-14821: la implementación del hipervisor KVM en el kernel de Linux no realizaba correctamente la verificación de límites al manejar operaciones de escritura MMIO fusionadas. Un atacante local con acceso de escritura a /dev/kvm podría usar esto para causar una denegación de servicio (bloqueo del sistema).
- CVE-2019-15504: el controlador de Wi-Fi 91x en el kernel de Linux no manejaba adecuadamente las condiciones de error en la inicialización, lo que generaba una vulnerabilidad doblemente libre. Un atacante físicamente próximo podría usar esto para causar una denegación de servicio (bloqueo del sistema).
- CVE-2019-15505: el controlador de dispositivo USB Technisat DVB-S/S2 en el kernel de Linux contenía una sobrecarga del búfer. Un atacante físicamente próximo podría usar esto para causar una denegación de servicio (bloqueo del sistema) o posiblemente exponer información confidencial.
- CVE-2019-15902: una mitigación de Spectre se implementó incorrectamente en el subsistema ptrace del kernel de Linux. Un atacante local podría usar esto para exponer información confidencial.
- CVE-2019-16714: la implementación de IPv6 RDS en el kernel de Linux no inicializaba correctamente los campos en una estructura de datos devuelta al espacio de usuario. Un atacante local podría usar esto para exponer información confidencial (memoria del núcleo). Hay que tener en cuenta que el protocolo RDS está en la lista negra en Ubuntu por defecto.
- CVE-2019-2181: existía un desbordamiento de enteros en la implementación de Binder del kernel de Linux, lo que conducía a un desbordamiento del búfer. Un atacante local podría usar esto para escalar privilegios.
Actualiza ya
Las actualizaciones ya están disponibles en los diferentes centros de software (o en la aplicación de actualizaciones) de todos los sabores oficiales de Ubuntu. Una vez instaladas, habrá que reiniciar el equipo para que los cambios surtan efecto.