Dos vulnerabilidades de Denial of Service en linux aun no han sido parchadas.



El kernel de Linux se ve afectado por dos vulnerabilidades de denegación de servicio (DoS), los problemas afectan el kernel de Linux 4.19.2 y las versiones anteriores.

Ambas fallas están clasificadas como de gravedad Media y son problemas de deferencia de puntero NULL que pueden ser explotados por un atacante local para desencadenar una condición DoS.

La primera vulnerabilidad rastreada como CVE-2018-19406 reside en la función del kernel de Linux llamada kvm_pv_send_ipi implementada en arch / x86 / kvm / lapic.c.

Un atacante local puede explotar la falla utilizando llamadas de sistema diseñadas para llegar a una situación en la que el mapa apic no está inicializado.

El segundo defecto, seguido como CVE-2018-19407 reside en la función del kernel de Linux vcpu_scan_ioapic que se define en arch / x86 / kvm / x86.c.

La falla se activa cuando el Controlador de interrupciones programable avanzado de E / S (APIC de E / S) no se inicializa correctamente.

La vulnerabilidad podría ser explotada por un atacante local que utiliza llamadas de sistema diseñadas para llegar a una situación en la que ioapic no está inicializado.

Siendo que ambas vulnerabilidades son de Criticidad media son de carácter grave, ya que si el atacante logra ingresar a los servidores mediante otra vulnerabilidad de tipo RCE, podría llegar a ejecutar estas dos vulnerabilidades y dejar el servidor inaccesible.

Referencias: https://www.securityfocus.com/bid/105987