Se ha hecho pública una vulnerabilidad crítica de tipo "zero day" en el núcleo de Linux, que permite a cualquier usuario local sin privilegios obtener acceso completo de root en prácticamente todas las principales distribuciones de Linux lanzadas desde 2017.
|
etiquetas: linux , zero day , exploit , vulnerabilidad 
Organizations operating in environments where immediate patching is unfeasible must implement… » ver todo el comentario
Creo que el que no aparezca como módulo cargado actualmente no significa que no se pueda cargar bajo demanda.
Primero se trataría de comprobar
# modinfo algif_aead
para ver si existe entre los módulos
Luego con
# cat /proc/sys/kernel/modules_disabled
si está a 0 es que se permiten módulos dinámicos, y este puede cargarse.
No sé si meto la pata aquí, pero creo que es más ámplio que ver si está cargado actualmente.
El modulo no se carga por defecto, pero existe.
Se carga sobre la marcha al hacer ciertas operaciones relacionadas con la criptografía.
Testing (Froky) NO es vulnerable. De la Stable hacia atrás, si.
Es una vilnerabilidad LOCAL. Se necesita scceso previo a la máquina
Por otro lado sí, a no ser que tengas diversos usuarios con distintos niveles de acceso, efectivamente no es para empezar a correr agitando las manos; pero sí es algo que habría que parchear.
Afortunadamente lo que dan como mitigación tiene su sentido
// Si se intenta cargar que te mande a la mierda:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
// Si ya está en memoria, acabar con él
rmmod algif_aead 2>/dev/null
Habrá que investigar más...
Es una vulnerabilidad LOCAL y se mitiga haciendo blacklist del kernel... probablemente alguna aplicación que necesite ese sistema de cifrado deje de funcionr
Mitigación: echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null
Además de que he leído el artículo.