Mano ai nostri tool di gestione pacchetti preferiti ed aggiorniamo, signori, perchè pochi giorni fa sono state sistemate ben tre vulnerabilità gravi che affliggevano il nostro kernel preferito.

La buona notiia è che tutte e tre sono state sistemate e ne è stata rilasciata la patch in tempi decisamente brevi, ma vediamo nel dettaglio di cosa stiamo parlando:

• CVE-2016-8655: Probabilmente la più grave, permette ad utenti locali non privilegiati di bloccare completamente il sistema o, forse ancora peggio, di eseguire comandi arbitrari con i privilegi di root, il tutto sfruttando una race condition presente in net/packet/af_packet.c in tutti i kernel precedenti al 4.8.12, rendendo vulnerabili anche le più recenti versioni di Fedora, Debian, RedHat ed Ubuntu;
• CVE-2016-6480: questa impatta la funzione ioctl_send_fib() del driver Adaptec AAC RAID e, seppur non permetta di ottenere privilegi di amministratore, permette di generare un denial-of-service (indisponibilità del servizio) sulle macchine con kernel precedente al 4.7;
• CVE-2016-6828: infine un bug nello stack TCP dei kernel precenti al 4.7.5 che, tramite la costruzione di contenuti specifici nell’area di Selective Acknowledge (SACK) del pacchetto TCP, permette ad un utente locale di bloccare il sistema;

Come al solito, non possiamo che sottolineare che l’utilizzo di un kernel libero non protegge automaticamente dalla presenza di bug ma, sicuramente, ne permette l’identificazione (ed il relativo patching) in tempi brevi!.

# apt-get update && apt-get upgrade

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.