Importantes actualizaciones de seguridad para Ubuntu 17.10 y 16.04 LTS

Canonical ha lanzado hace escasas horas varias actualizaciones de seguridad para Ubuntu 17.10 (Artful Aardvark) y Ubuntu 16.04 LTS (Xenial Xerus) para corregir una serie de vulnerabilidades descubiertas recientemente.

Importantes actualizaciones de seguridad para Ubuntu 17.10 y 16.04 LTS

Actualizaciones de seguridad para Ubuntu 17.10

En el caso de Ubuntu 17.10 se ha taponado un fallo de seguridad (CVE-2018-8043) que afecta al controlador Broadcom UniMAC MDIO del kernel de Linux, que no valida adecuadamente los recursos, permitiendo a un atacante local provocar un cuelgue del sistema y por tanto una Denegación de Servicio (DoS).

También se ha arreglado un par de problemas de tipo “condición de carrera” o race condition descubiertas en el subsistema del kernel cuyo nombre es  Advanced Linux Sound Architecture (ALSA). Podría facilitar a un atacante local el hecho de bloquear el acceso a /dev/snd/seq y provocar inestabilidad en el sistema. Los identificadores son (CVE-2018-1000004 / CVE-2018-7566).

Finalmente, también se ha lanzado un parche de seguridad para corregir el CVE-2017-16538 descubierto en el driver DM04/QQBOX USB, dado que este no gestiona correctamente la adición de dispositivos y el arranque en caliente, permitiendo así a un atacante cercano la ejecución de código arbitrario o provocar inestabilidad en el sistema con otro ataque de tipo DoS.

Parches para Ubuntu 16.04 LTS

Con los parches publicados ayer por parte de Canonical, también se han publicado actualizaciones para el kernel de los sistemas Intel Euclid y Microsoft Azure Cloud, incluyendo el primero una corrección para la vulnerabilidad CVE-2017-16995 hallada por Jahn Horn en la implementación del Filtrador de paquetes de Berkeley (BPF) presente en el kernel de Linux.

Esta vulnerabilidad podría permitir a un atacante local ejecutar código arbitrario o causar bloqueos en el sistema. Se recomienda actualizar a linux-image-4.13.0-1014-azure-4.13.0-1014.17 kernel lo antes posible.

En total se han presentado correciones para hasta 15 vulnerabilidades presentes en Ubuntu 16.04 LTS y Microsoft Azure Cloud. Los detalles completos están disponibles aquí.

También se recomienda a los usuarios de Ubuntu 17.10 actualizar a linux-image-4.13.0-39.44 en versiones 32/64 bits, además de instalar el nuevo linux-image-4.13.0-1017-raspi2-4.13.0-1017.18 en Raspberry Pi 2. Los usuarios de Ubuntu 16.04.4 LTS que utilicen el kernel de Ubuntu 17.10 HWE deberán actualizar a linux-image-4.13.0-39.44~16.04.1.

Conclusiones

Como es de esperar, se ha puesto a disposición de los usuarios de Ubuntu 14.04.5 LTS tienen disponible un HWE (Hardware Enablement) de 16.04 y Canonical recomienda actualizar las instalaciones de Linux a linux-image-4.4.0-121.145~14.04.1 y actualizar a linux-image-aws-4.4.0-1017.17 en AWS.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.