Después de que la semana pasada se publicaran los detalles de un exploit local contra el Kernel 2.6 producido por la llamada al sistema vmsplice(), el sitio DistroWatch hace un resumen de la rapidez con que las principales distribuciones GNU/Linux respondieron publicando sus correcciones al problema. Todas las 10 primeras distribuciones reaccionaron en menos de 48 horas:
| Distribution | Date/Time | Delay | Reference |
|---|---|---|---|
| Debian GNU/Linux | 2008-02-11 13:58 | +0 hours | DSA 1494-1 |
| Fedora | 2008-02-11 22:39 | +8 hours | FEDORA-2008-1423 |
| Slackware Linux | 2008-02-12 02:00 | +12 hours | SSA:2008-042-01 |
| Mandriva Linux | 2008-02-12 07:06 | +19 hours | MDVSA-2008:043 |
| Frugalware Linux | 2008-02-12 11:17 | +21 hours | FSA-369 |
| openSUSE | 2008-02-12 12:43 | +23 hours | SUSE-SA:2008:007 |
| rPath Linux | 2008-02-12 16:28 | +26 hours | rPSA-2008-0052-1 |
| Red Hat Enterprise Linux | 2008-02-12 16:54 | +27 hours | RHSA-2008:0129-01 |
| Ubuntu | 2008-02-12 17:23 | +27 hours | USN-577-1 |
| CentOS | 2008-02-13 03:27 | +37 hours | CESA-2008:0129 |
Aunque con este exploit un usuario sin privilegios ejecutando un Kernel vulnerable localmente podría obtener un acceso de superusuario, potencialmente afectando a millones de sistemas, el mismo no fué considerado crítico, pero solucionado con una rapidez imposible de encontrar en el mundo del software privativo.
Nota de braianet: Aunque Arch Linux no aparezca en la lista, había lanzado el 10 de febrero su ultimo kernel compilado y corregido. Creo que hay que prestarle mas atención a esta distro, aunque posea un perfil bajo tiene el más rápido tiempo de respuesta exploit/parche junto a Debian.
Si no me creen, visiten su repositorios de paquetes ArchLinux.org.
Fuente:
http://www.vivalinux.com.ar
http://distrowatch.com/weekly.php?issue=20080218#feature
0 comentarios:
Post a Comment