Come ogni Long Term Support (LTS) che si rispetti, il supporto e le correzioni sono un’attività prioritaria. In particolar modo per quanto riguarda la sicurezza delle infrastrutture. Alcune settimane fa avevamo trattato le vulnerabilità nei kernel LTS 2.6.38 e 2.6.32. Questa volta tocca ai kernel per EC2 e, dunque, alle infrastrutture cloud.
Le vulnerabilità in questione comportano conseguenze serie ai sistemi affetti. Quattro sono le falle che interessano i kernel EC2 di Ubuntu, registrate come CVE-2011-2491, CVE-2011-2496, CVE-2011-2525 e CVE-2011-2517. Le prime tre comportano un Denial of Service e l’ultima, particolarmente insidiosa, rende possibile una “scalata” di privilegi per l’utente root.
Fortunatamente, se così si può dire, le falle possono essere sfruttate solo da locale. Le aree interessate sono la gestione del NFS Lock Manager, la Classless Queuing Disciplines, le mapping extensions e per finire una scorretta gestione della lunghezza degli SSID nello stack wireless. Le correzioni sono presenti nel pacchetto linux-image-2.6.32-340-ec2: trattandosi del kernel, ovviamente occorre un riavvio della macchina. I moduli di terze parti andranno ricompilati e reinstallati.
Via | LWN
Vulnerabilità per il kernel EC2 di Ubuntu 10.04 é stato pubblicato su Ossblog.it alle 09:00 di domenica 27 novembre 2011.