El kernel de Linux se ve afectado por dos vulnerabilidades de denegación de servicio (DoS), los problemas afectan el kernel de Linux 4.19.2 y las versiones anteriores.
Ambas fallas están clasificadas como de gravedad Media y son problemas de deferencia de puntero NULL que pueden ser explotados por un atacante local para desencadenar una condición DoS.
La primera vulnerabilidad rastreada como CVE-2018-19406 reside en la función del kernel de Linux llamada kvm_pv_send_ipi implementada en arch / x86 / kvm / lapic.c.
Un atacante local puede explotar la falla utilizando llamadas de sistema diseñadas para llegar a una situación en la que el mapa apic no está inicializado.
El segundo defecto, seguido como CVE-2018-19407 reside en la función del kernel de Linux vcpu_scan_ioapic que se define en arch / x86 / kvm / x86.c.
La falla se activa cuando el Controlador de interrupciones programable avanzado de E / S (APIC de E / S) no se inicializa correctamente.
La vulnerabilidad podría ser explotada por un atacante local que utiliza llamadas de sistema diseñadas para llegar a una situación en la que ioapic no está inicializado.
Siendo que ambas vulnerabilidades son de Criticidad media son de carácter grave, ya que si el atacante logra ingresar a los servidores mediante otra vulnerabilidad de tipo RCE, podría llegar a ejecutar estas dos vulnerabilidades y dejar el servidor inaccesible.
Fuente: Seguridadyfirewall.cl