Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa dos nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar privilegios.

El primer problema, con CVE-2016-4565, reside en la forma en que determinadas interfaces del subsistema Infiniband del kernel de Linux usan write() como sustituto de ioctl() bidireccional. Un usuario local sin privilegios podría usar este fallo para elevar sus privilegios en el sistema. Por otra parte, con CVE-2015-8767, una condición de carrera en la implementación SCTP del kernel de Linux al tratar determinadas llamadas sctp_accept() podría permitir a atacantes remotos provocar condiciones de denegación de servicio.

También se han corregido otros siete fallos no relacionados directamente con problemas de seguridad.

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:
https://access.redhat.com/articles/11258

Más información:

Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2016-1277.html

Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

http://unaaldia.hispasec.com/2016/06/actualizacion-del-kernel-para-red-hat.html