Como se demostró ayer con las actualizaciones de LibreOffice 6.2.7 y Firefox 69.0.1, todo el software que existe y existirá tiene fallos. Muchos de ellos son pequeños problemas que hacen que su uso sea algo molesto, como el del touchpad en LibreOffice que se corrige en la v6.3.0 de la suite de ofimática, pero otros son fallos de seguridad o vulnerabilidades como las que ha corregido Debian hace unas horas.
Para ser más concretos, Debian Project ha corregido un total de 5 vulnerabilidades que afectaban a las dos últimas versiones de su sistema operativo, o lo que es lo mismo, Debian 10 Buster y Debian 9 Stretch. Lo peor no es el número de vulnerabilidades reparadas, relativamente bajo si tenemos en cuenta que aquí hemos hablado de hasta un centenar, sino que tres de ellas son de severidad alta y dos de ellas de severidad media.
Debian Buster y Stretch tenían 5 vulnerabilidades que ya han reparado
Los 5 fallos de seguridad que han corregido son los siguientes:
- CVE-2019-15902: un fallo que reintrodujo una vulnerabilidad de Spectre V1 en el subsystema ptrace del kernel de Linux y podía explotarse remotamente. Severidad: alta.
- CVE-2019-14821: un atacante local con acceso a /dev/kvm podría escalar sus privilegios y corromper la memoria o que el sistema se bloqueara. Severidad: media. Requiere acceso local.
- CVE-2019-15117: presente en el driver de usb-audio, podía permitir a un atacante añadir dispositivos USB para bloquear el sistema. Severidad: media. Requiere acceso local
- CVE-2019-14835: un fallo en el controlador de back-end de red vhost_net para hosts KVM que podría permitir que un atacante que controla una máquina virtual provocara daños en la memoria o bloquear el sistema, además de escalar sus privilegios en el sistema host. Severidad: alta. Requiere acceso local.
- CVE-2019-15118: También presente en el driver de usb-audio, podría permitir a un atacante añadir dispositivos USB para escalar privilegios y causar denegación del servicio (DoS), bloqueos del sistema o corromper la memoria. Severidad: media. Requiere acceso local
Las nuevas versiones del kernel son 4.19.67-2+deb10u1 para Debian 10 y 4.9.189-3+deb9u1 para Debian 9. Para que los cambios surtan efecto, habrá que reiniciar el sistema operativo.