×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×

ThetechguyMiembro desde: 09/02/18

Thetechguy
5
Posición en el Ranking
2
Usuarios seguidores
Sus noticias
RSS
  • Visitas
    1.449.355
  • Publicadas
    622
  • Puntos
    85
Veces compartidas
68
¡Consigue las insignias!
Trimestrales
Recientes
Visitas a noticias
Hace 2d

La vulnerabilidad tiene un puntaje de 7.2/10 en la escala CVSS

Los usuarios del sistema Linux están lidiando con una nueva amenaza. Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, se ha descubierto una vulnerabilidad que afecta la función runC runtime container que funciona con Docker, cri-o, containerd y Kubernetes.

RunC es una herramienta de interfaz de línea de comandos compatible con Open Container Initiative para generar y ejecutar containers.

La vulnerabilidad, identificada como CVE-2019-5736, permite que un container infectado sobreescriba el archivo binario runC y obtenga acceso al root en el host. En otras palabras, esto permitiría que el container infectado obtenga control del host global, con lo que los atacantes podrían ejecutar cualquier comando.

“Es muy probable que la mayoría de los runtime container sean afectados por esta vulnerabilidad, a menos que los administradores hayan tomado medidas de antemano, algo bastante improbable”, mencionó un especialista en ciberseguridad. El experto añadió que la vulnerabilidad está bloqueada por la adecuada implementación de namespaces de usuario, “donde el root no está mapeado en el namespace del usuario”.

La vulnerabilidad ha sido considerada crítica por algunos especialistas en seguridad en redes. Los expertos mencionan que la vulnerabilidad tiene una puntuación de 7.2/10 en la escala CVSS.

En los más recientes días fue desarrollado un parche para corregir la vulnerabilidad, mismo que está siendo enviado a los usuarios de runC. Además, diversos proveedores de servicios en la nube han estado tomando medidas para implementar el parche de actualización.

Más sobre

Aunque no es específica del ecosistema Kubernetes, la vulnerabilidad parece seguir el comportamiento de un error crítico encontrado en la plataforma el año pasado. El error habría afectado a todos los productos y servicios basados en Kubernetes, y concede privilegios de administrador a los hackers en cualquier nodo que se esté ejecutando en un clúster de Kubernetes.

A pesar de que el parche de actualización fue desarrollado y publicado rápidamente, especialistas en seguridad en redes aún esperan la aparición de más vulnerabilidades.

“Nuevas vulnerabilidades continuarán apareciendo por siempre”, declararon los investigadores en ciberseguridad durante su presentación en un reciente evento. “Era de esperarse que encontráramos esta clase de error, así como es de esperarse que se encuentren más en el futuro, es una cualidad intrínseca del software.

El año pasado fueron encontrados más de 21 mil sistemas de administración de API y containers abiertos vulnerables a posibles ciberataques. Los sistemas expuestos incluían implementaciones de Kubernetes, Swarm, Red Hat, entre otras.   

También destacan serios problemas de seguridad en chips vinculados a las conocidas vulnerabilidades Spectrum y Meltdown, mismos que aún preocupan a la comunidad de usuarios de Linux.

Más recientes de Thetechguy

Microsoft confirma vulnerabilidad crítica en servicio en línea Exchange

Esta falla de escalada de privilegios permitiría a un atacante remoto hacerse pasar por un administrador 11/02/2019

Hackear un smartphone Android con tan sólo una imagen PNG

Google afirma que esta vulnerabilidad aún no ha sido explotada en escenarios reales 08/02/2019

Peligroso backdoor en Linux

Muchos investigadores creen que este nuevo troyano podría detonar una importante oleada de ciberataques 08/02/2019

Distribuciones de Linux para seguridad y privacidad

Distribuciones de Linux para seguridad y privacidad

Las mejores distros de este sistema operativo para especialistas en ciberseguridad 07/02/2019

Mostrando: 16-20 de 621