El equipo de seguridad Google Project Zero tiene como objetivo descubrir y reportar vulnerabilidades de seguridad en productos desarrollados tanto por Google como por otros proveedores. Después de identificar un problema de seguridad, se notifica de manera privada al proveedor y se le brinda un plazo de 90 días para resolver el problema antes de que se publique públicamente. En ocasiones, se otorga un periodo adicional de 14 días, dependiendo de la complejidad de la solución requerida.
Es importante destacar que Google Project Zero es una iniciativa clave en la lucha contra las vulnerabilidades de seguridad en el software, ya que su trabajo no solo beneficia a los usuarios de Google, sino también a los de otros proveedores. La política de notificación de 90 días es una medida importante para garantizar que las vulnerabilidades se aborden rápidamente y se proteja a los usuarios de posibles amenazas.
-Google Project Zero descubre fallas de seguridad en el kernel de CentOS
Según se describe en el documento técnico disponible aquí, el investigador de seguridad de Google Project Zero, Jann Horn, descubrió que las correcciones del kernel realizadas en los árboles estables no se aplican a muchas versiones empresariales de Linux. Para comprobar esta teoría, Horn comparó el núcleo CentOS Stream 9 con el árbol estable linux-5.15. y.
Es importante destacar que CentOS es una distribución de Linux que se asemeja a Red Hat Enterprise Linux (RHEL) y su versión 9 se basa en la versión linux-5.14. Al comparar estas versiones, Horn pudo identificar las vulnerabilidades en el kernel de CentOS Stream 9 que no se habían abordado en las correcciones del kernel de linux-5.15.
Tal como se esperaba, se descubrió que varias correcciones del kernel no se habían implementado en versiones anteriores de CentOS Stream/RHEL que aún eran compatibles. Horn también destacó que, para este caso, Project Zero está otorgando un plazo de 90 días para publicar una solución, pero en el futuro podría asignar plazos aún más estrictos para abordar los backports faltantes.
Las vulnerabilidades en el kernel pueden poner en riesgo la seguridad de los sistemas empresariales y de sus clientes, y es crucial abordar estas vulnerabilidades de manera oportuna y eficaz.
Los plazos establecidos por Project Zero para resolver estos problemas son importantes para garantizar que los proveedores tomen medidas rápidas y efectivas para proteger a los usuarios.
Red Hat ha confirmado los tres errores reportados por Horn y les ha asignado números CVE. Sin embargo, la compañía no logró solucionar estos problemas dentro del plazo de 90 días asignado y, como resultado, Google Project Zero ha hecho públicas estas vulnerabilidades.
A continuación, se presentan algunos detalles importantes de cada una de estas vulnerabilidades:
- CVE-2023-0590: Esta es una falla de uso después de la liberación en el kernel de Linux que se debe a una condición de carrera. El vector de ataque es local y su gravedad se considera moderada.
- CVE-2023-1252: Esta es una vulnerabilidad use-after-free en el sistema de archivos Ext4 del kernel de Linux que permite a un atacante bloquear el sistema o aumentar los privilegios. El vector de ataque es local y su gravedad se considera moderada.
- CVE-2023-1249: Esta es una falla de uso después de la liberación en el subsistema de volcado del núcleo del kernel de Linux. Aunque es difícil de explotar, puede permitir que un atacante bloquee el sistema. El vector de ataque es local y su gravedad se considera baja.
Ahora que se han hecho públicos los detalles de estas vulnerabilidades en ciertos kernels de Linux, es posible que Red Hat reciba presión para solucionarlos lo antes posible.
Es importante abordar estas vulnerabilidades para garantizar la seguridad de los sistemas empresariales y de sus clientes.