Google revela las vulnerabilidades del kernel de CentOS Linux luego de que no se emitieran las correcciones oportunas

Google Project Zero es un equipo de seguridad responsable de descubrir fallas de seguridad en los propios productos de Google, así como en el software desarrollado por otros proveedores. Después del descubrimiento, los problemas se informan de forma privada a los proveedores y se les da 90 días para solucionar los problemas informados antes de que se divulguen públicamente. En algunos casos, también se otorga un período de gracia de 14 días, según la complejidad de la solución involucrada.

Hemos cubierto ampliamente los hallazgos de Google Project Zero en el pasado, ya que ha informado vulnerabilidades en el software desarrollado por Google , Microsoft , Qualcomm , Apple y más. Ahora, el equipo de seguridad ha informado sobre varias fallas en el kernel de CentOS.

Como se detalla en el documento técnico aquí , el investigador de seguridad de Google Project Zero, Jann Horn, se enteró de que las correcciones del kernel realizadas en los árboles estables no se adaptan a muchas versiones empresariales de Linux. Para validar esta hipótesis, Horn comparó el núcleo CentOS Stream 9 con el árbol estable linux-5.15.y estable. Para aquellos que no lo saben, CentOS es una distribución de Linux más cercana a Red Hat Enterprise Linux (RHEL) y su versión 9 se basa en la versión linux-5.14.

Como era de esperar, resultó que varias correcciones del kernel no se implementaron en versiones anteriores, pero compatibles, de CentOS Stream/RHEL. Horn señaló además que, para este caso, Project Zero está otorgando un plazo de 90 días para publicar una solución, pero en el futuro, puede asignar plazos aún más estrictos para los backports faltantes:

Estoy informando este error dentro de nuestro plazo habitual de 90 días esta vez porque nuestra política actualmente no tiene nada más estricto para los casos en los que las correcciones de seguridad no están respaldadas; podríamos cambiar nuestro tratamiento de este tipo de problema en el futuro.

Sería bueno si Linux upstream y distribuciones como la suya pudieran encontrar algún tipo de solución para mantener sus correcciones de seguridad sincronizadas, de modo que un atacante que quiera encontrar rápidamente un buen error de corrupción de memoria en CentOS/RHEL no pueda simplemente encontrar tal errores en el delta entre upstream estable y su kernel. (Me doy cuenta de que probablemente hay mucha historia aquí).

Red Hat aceptó los tres errores informados por Horn y les asignó números CVE. Sin embargo, la compañía no solucionó estos problemas en el plazo asignado de 90 días y, como tal, Google Project Zero está haciendo públicas estas vulnerabilidades. Puede encontrar algunos detalles de alto nivel a continuación:

• CVE-2023-0590: una falla de uso después de la liberación en el kernel de Linux debido a una condición de carrera, gravedad moderada, vector de ataque local
• CVE-2023-1252: Vulnerabilidad use-after-free en el sistema de archivos Ext4 del kernel de Linux que permite a un atacante bloquear el sistema o aumentar los privilegios, gravedad moderada, vector de ataque local
• CVE-2023-1249: falla de uso posterior a la liberación en el subsistema de volcado del núcleo del kernel de Linux que es difícil de explotar pero puede permitir que un atacante bloquee el sistema, baja gravedad, vector de ataque local

Ahora que los detalles de estas fallas de seguridad en ciertos kernels de Linux son públicos, queda por ver si se presionará a Red Hat para que los solucione lo antes posible.