Recientemente se descubrió una vulnerabilidad de escalada de privilegios denominada "Vaca Sucia"(CVE-2016-5195) y se corrigió ayer en el Kernel de Linux. Existe desde hace 11 años, por lo que prácticamente todos los dispositivos que ejecutan Linux están afectados (esto incluye máquinas virtuales, máquinas físicas, dispositivos móviles, etc.) y, en general, las distribuciones de todos los proveedores están afectadas.
Linode ha puesto a disposición nuevos kernels basados en la versión 4.8.3 para solucionar el problema, por lo que si está ejecutando nuestros kernels (como es el caso por defecto), sólo tendrá que reiniciar sus Linodes para recoger el nuevo kernel.
Si está ejecutando el kernel de una distribución o su propio kernel, tendrá que aplicar las actualizaciones por su cuenta.
Como siempre, hay sutilezas y posibles defensas y configuraciones que pueden hacer que esto no sea un problema para tu situación específica, así que dejaremos la evaluación en tus manos - pero nuestro consejo general es actualizar tus kernels y reiniciar lo antes posible.
Para los curiosos, aquí está el parche de Linus Torvalds.
Comentarios (7)
Awesome. Fast response as always. I’ve rebooted my linodes to apply the updated kernel version.
Thanks Linode for the kernel release. Much appreciated 🙂
I second @George’s sentiment!
Thanks, Linode, for you quick response!
Thanks a lot to this wonderful team <3
I was freaking out when I saw how I was able to abuse it.
Thanks for the quick fix 🙂
11 years? 😀