Se han identificado varias vulnerabilidades en el kernel de Linux que podrían permitir a un atacante local causar una denegación de servicio (DoS), ejecución código arbitrario en los sistemas afectados.
Productos o items afectados
- Kernel de linux anterior a la versión 5.17
Impacto de la vulnerabilidad
Vulnerabilidades descubiertas en el controlador del pad NVIDIA Tegra XUSB identificada como CVE-2023-23000 y el controlador del procesador de visualización ARM Mali identificada como CVE-2023-23004, ambas con puntuación de 5.5 en CVSv3 de severidad media, donde un atacante local podría explotar estas debilidades para causar una denegación de servicio (DoS) en el sistema afectado.
CVE-2024-1086 relacionada al subsistema netfilter con una puntuación de 7.8 en CVSv3 con una severidad alta vulnerabilidad del tipo User-After-Free, que involucra al kernel de linux en las variables nf_tables podría ser explotada por un actor malicioso con acceso local al sistema para realizar escalamiento de privilegios (EoP).
Otra vulnerabilidad ha sido reportada, afectando al controlador de canal de Fibra Emulex LightPulse identificada como CVE-2024-24855 con una puntuación de 4.7 en CVSv3 de severidad media, donde se ha reportado una condición de referencia nula en las instrucciones del controlador, un actor malicioso con acceso local al sistema afectado manipulando dichas instrucciones podría causar una denegación de servicio (DoS).
Recomendación
Se recomienda aplicar las actualizaciones de seguridad en los sistemas de kernel de los sistemas operativos afectados.
Obs.: Se recomienda reiniciar el equipo después de aplicar la actualización, actualmente existe prueba de concepto para la CVE-2024-1086.
Enlaces de referencia