Google Project Zero, o time responsável por encontrar falhas em produtos da própria empresa, bem como em softwares desenvolvidos por terceiros, descobriu várias falhas de segurança no kernel do CentOS.
Após a descoberta, eles notificam os fornecedores e lhes dão 90 dias para corrigir as falhas antes que sejam divulgadas publicamente.
Em um documento técnico, Jann Horn, pesquisador de segurança do Google Project Zero, descobriu que as correções de kernel feitas em stable trees não estão sendo retroportadas para muitas versões empresariais do Linux.
Para validar essa hipótese, Horn comparou o CentOS Stream 9 kernel com a linux-5.15.y tree. Ele descobriu que várias correções de kernel não foram implantadas em versões mais antigas e suportadas do CentOS Stream/RHEL.
As três falhas descobertas em CentOS foram aceitas pela Red Hat, que atribuiu a elas números de CVE – Common Vulnerabilities and Exposures.
No entanto, a empresa não conseguiu corrigir os problemas dentro do prazo estipulado.
As vulnerabilidades são as seguintes: CVE-2023-0590, uma falha de uso após liberação no kernel do Linux; CVE-2023-1252, uma vulnerabilidade de uso após liberação no sistema de arquivos Ext4 do kernel do Linux; e CVE-2023-1249, uma falha de uso após liberação no subsistema de despejo principal do Linux kernel.
De acordo com a equipe de segurança, o Google deu um prazo de 90 dias para os desenvolvedores lançarem uma correção para as falhas. Após esse prazo, caso as vulnerabilidades não sejam solucionadas, as informações são divulgadas publicamente.
Agora que essas falhas de segurança foram tornadas públicas, resta saber se a Red Hat irá corrigi-las imediatamente.
A equipe do Google Project Zero é responsável por relatar vulnerabilidades em diversos softwares, como os desenvolvidos por Google, Microsoft, Qualcomm e Apple, entre outros.
