[CentOS-es] grave vulnerabilidad en kernel de CentOS de 64 bits.
"Ing. Ernesto Pérez Estévez"
centos en nuestroserver.com
Lun Sep 20 12:09:14 EDT 2010
hola,
tienes CentOS-5 de 64 bits instalado? Sí?
Bien, pues felicidades pues entonces tienes una falla de seguridad
grandísima en tus manos.. tranquilo.. te diré una variante de cómo
solucionarla... resulta ser que hay un exploit siendo usado para
aprovecharse de esta vulnerabilidad:
https://access.redhat.com/kb/docs/DOC-40265
Redhat hasta hace pocas horas no había liberado una actualización al
kernel. El exploit es tipo zero day.. es decir.. le están usando y no se
había corregido la falla. Ya debian y ubuntu la corrigieron.. redhat
está viendo cómo...
En todo caso, es peligrosa.. a varias empresas ya les han metido mano
por esta vía.. y te sugiero si tienes un sistema muy importante que
valores la posibilidad de usar este sistema:
http://www.ksplice.com/
Qué hace ksplice? Te parchea el kernel con las últimas actualizaciones
de seguridad de tu proveedor.. y no tienes que reiniciar el servidor!
Es decir, que teóricamente si parcheas con ksplice un sistema, este
podría corregir hasta que el hardware diga: YA NO MÁS!
Ah, olvido mencionarlo: En lo que redhat decide sacar el parche para
esta falla de seguridad, ksplice se ha molestado en poner su propio
parche a los kernels de redhat/CentOS, por tanto, usando el ksplice te
quedará todo actualizadito.
Realmente es bonito, maravilloso. Eso sí, cuesta como 4usd/mes por cada
sistema que quieras mantener parcheado, me parece bajísimo costo por el
hecho de mantener el kernel actualizado y sin tenerlo que reiniciar.
Al momento lo usamos en nuestros servidores hace varios meses y
realmente funciona bien, sin inconvenientes hasta el momento. El día que
tuviera uno, te aviso.
Volviendo al tema del exploit: afecta solamente rhel-5/centos-5 en sus
arquitecturas de 64bits. No afecta a las versiones anteriores ni a las
arquitecturas de 32 bits. Es una falla que tiene que ver con la
ejecución de aplicaciones de 32bits en máquinas de 64bits.
saludos
epe
Más información sobre la lista de distribución CentOS-es