Una nueva falla de seguridad afecta a los sistemas Linux y BSD

Xorg-bug

Hace algunos días se realizó la publicación de un error encontrado con el X.Org Server ponía en riesgo la seguridad de los sistemas Linux y BSD.

El personal de ZDNet fue quien realizo la advertencia de un nuevo fallo de seguridad en el X.Org que permitía que un atacante pudiera conseguir un acceso limitado al sistema.

Sobre el fallo encontrado

El fallo encontrado es en el X.Org Server permitía que el invasor consiguiera acceso limitado al sistema que podría ser vía terminal localmente o en una sesión SSH remotamente, así consiguiendo cambiar los permisos y consiguiendo el modo Root .

La vulnerabilidad encontrada no esta en la categoría de fallas del tipo «peligrosas» y tampoco es una falla que pueda preocupar a las computadoras con seguridad alta y bien planificada.

Pero este pequeño fallo bien aprovechado por un atacante que tenga los conocimientos suficientes puede transformar rápidamente algo que no tiene preocupante una invasión terrible, comenta Catalin Cimpanu.

No se puede usar para penetrar en computadoras seguras, pero sigue siendo útil para los atacantes porque puede convertir rápidamente intrusiones simples en piruetas erróneas.

Si bien la vulnerabilidad no pudo ser ignorada por las comunidades de Linux e infosec, que una vez que su existencia de este fallo de seguridad se hizo público el jueves pasado, comenzaron a trabajar en la solución.

El fallo ya había sido detectado años atrás

Un consultor de seguridad escuchado por ZDNet, Narendra Shinde, advirtió que dicho fallo se señaló en su informe de mayo de 2016 y que el paquete X.Org Server contiene esta vulnerabilidad que podría dar a los atacantes privilegios de root y puede cambiar cualquier archivo, hasta los más cruciales para el sistema operativo.

Esta vulnerabilidad se identificó como CVE-2018-14665 y en ella se observó lo que podría haber causado tal error.

El manejo incorrecto de dos líneas de código, siendo las lineas «-logfile» y «-modulepath», habría permitido a los invasores insertar sus códigos maliciosos.

Este error se explora cuando X.Org Server se ejecuta con privilegios de Root y esto es común en muchas distros.

Distribuciones afectadas

Los desarrolladores de la Fundación X.Org ya están planificando una nueva solución para la versión del X.Org 1.20.3 y así solucionar estos problemas causados por estas dos líneas.

Distribuciones como Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, y OpenBSD ya han sido confirmados como afectados, aunque también se ven afectados otros proyectos más pequeños.

Las actualizaciones de seguridad que contiene el paquete pretenden corregir la vulnerabilidad de X.Org Server la cual se deben implementar en las próximas horas o días.

Por otro lado, en Linux Mint y Ubuntu la corrección ya ha sido puesto en libertad y confirmada, sólo se tiene que actualizar el sistema, mientras que de las demás distribuciones aun no se sabe si pretenden ellos lanzar el parche o esperar el que lanzó el grupo de desarrollo de X.Org.

«Un atacante puede, literalmente, hacerse cargo de los sistemas afectados con 3 comandos o menos», dijo Hickey en Twitter. «Hay muchas otras formas de explotar, por ejemplo, crontab. Es gracioso sobre lo trivial que es».

Esto demuestra que Linux y BSD no son sistemas totalmente seguros, sin embargo, son alternativas sólidas y seguras en comparación con los sistemas Windows.

Finalmente es por ello que problemas como éste en X.org y otros que se han dado a conocer tiempo atrás demuestran una vez más la importancia del desarrollo activo de alternativas como Wayland.

Dado que X.org es un protocolo bastante viejo y que necesita ser remplazado ya, aun que lamentablemente aun que tengamos alternativas como Wayland o Mir estas no sean lo suficientemente solidas para brindar una usabilidad a todos.

Estas alternativas ya se encuentran en algunas distribuciones de Linux y han sido probadas, aun que en algunas no ha funcionado como se espera, (tal es el caso de Ubuntu con Wayland). Estas alternativas al X.org aun les falta mucho para que alguna de estas se pueda convertir en un estándar dentro de Linux.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.