blob: 771beac333c707636a70f0160a67dea7cb8cc69b (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
#use wml::debian::translation-check translation="a344c983d62e0f902caa8d31afb51481f4b569ad"
<define-tag moreinfo>Sebastian Krahmer encontró un problema en la utilidad
modprobe que podía ser explotada por usuarios locales para ejecutar comandos
arbitrarios como root si la máquina estaba funcionando con un núcleo con kmod
activado.
<p>La característica kmod del núcleo permite al núcleo cargar módulos del
núcleo dinamicamente si la funcionalidad requerida no está presente en el
núcleo en ejecución. Hace esto al invocar el comando modprobe con el módulo
requerido como parámetro. Este parámetro puede estar influenciado por los
usuarios, por ejemplo, abriendo archivos no existentes actualmente en un
sistema de ficheros devfs, o intentando acceder a un interfaz de red no
existente. Debido a que modprobe no escapaba adecuadamente metacaracteres de
la shell al llamar a comandos externos ni comprobaba si los últimos parámetros
eran una opción en lugar del nombre de un módulo, los usuarios pueden causar
que se ejecuten comandos arbitrarios.
<p>Esto ha sido reparado en la versión 2.3.11-12 y le recomendamos que
actualice su paquete modutils inmediatamente.</define-tag>
<define-tag description>explotación local</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001120.data'
|
