Una nueva vulnerabilidad del núcleo de Linux identificada como CVE-2018 a 14619 ha sido descubierto por los investigadores de ingeniería de Red Hat Florian Weimer y Ondrej Mosnacek. Más particularmente, la falla se encuentra en el subsistema de cifrado del núcleo Linux.
CVE-2018 a 14619 Detalles técnicos
La falla podría conceder a un usuario local, el derecho a chocar la máquina y causar corromper la memoria que permita controlar.
El “skcipher nula” se estaba caído en el lugar equivocado – cuando cada af_alg_ctx fue liberado en lugar de cuando se liberó la aead_tfm. Esto puede hacer que el skcipher nulo al ser liberado mientras que todavía está en uso, los investigadores explicaron.
El CVE-2018-14.619 vulnerabilidad se encuentra en Kernel de Linux hasta 4.15-RC3 y ha sido clasificado como crítico. Una función del subsistema Crypto componente se ha visto afectada, y como resultado de ella, aparece una vulnerabilidad de corrupción de memoria. El resultado de una explotación podría dar lugar a un impacto sobre la confidencialidad, intergrity, y la disponibilidad, investigadores decir.
Parece ser que la vulnerabilidad fue compartida en 08/30/2018 en la forma de un informe de error en Bugzilla bugzilla.redhat.com. Cabe señalar que para CVE-2.018-14.619, que se activará, Se requiere acceso local, con una sola autenticación necesaria para la explotación. La estructura de la vulnerabilidad define un posible rango de precios de USD $ 5k- $ 25k en el momento, los investigadores informaron de Bugzilla.
Para mitigar la vulnerabilidad CVE-2018 a 14.619, modernización a la versión 4.15 se necesita-RC4. Una vez aplicada la actualización de, la vulnerabilidad se elimina.