Send us a Tip!ShopSubscribe
Tecnología, ciencia y cultura digital
We may earn a commission from links on this page
Search

Un número "incalculable" de sistemas Linux se puede hackear pulsando Retroceso 28 veces

By
Matías S. Zavia
Comments (22)
We may earn a commission from links on this page.

Dos investigadores de la Universidad Politécnica de Valencia han descubierto una vulnerabilidad tan extraña como grave en la mayoría de sistemas Linux. Pulsar 28 veces la tecla “Retroceso” durante el login del gestor de arranque produce el desbordamiento de una variable que acaba dándote acceso al sistema.

Watch
Por qué encoge tu ropa cuando la lavas (y cómo puedes evitarlo)
Subtitles
  • Off
  • English
Por qué la sal hace que la comida sepa mejor
December 15, 2022
En qué consiste exactamente la tecnología MicroLED de Samsung (y cómo afecta a tu televisor nuevo)
January 8, 2019
Advertisement

El bug afecta al gestor de arranque Grub2 desde la versión 1.98 (diciembre de 2009) hasta la 2.02 (diciembre de 2015), común en la mayoría de distribuciones de Linux. La vulnerabilidad afecta a “un número incalculable de dispositivos” según los propios investigadores. Cualquier persona con acceso local podría entrar al sistema sin necesidad de contraseñas.

Si el sistema es vulnerable a este error, el atacante puede acceder a la consola de rescate Grub y realizar lo que se conoce como un “ataque de día cero”: robar los datos del usuario, instalar software malicioso, destruir el sistema... Hacer, básicamente, lo que le dé la gana con el ordenador.

G/O Media may get a commission
47% Off Essential Organic PH Cleanser
Save $9
47% Off Essential Organic PH Cleanser

Sustainable beauty
Caprea’s Essential Organic PH Cleanser is just $10 with promo code TEN. Normally $19, this foaming face wash is crafted with organic Monoi oil. It’s meant to target the production of oil secretion while protecting your skin against air pollution. Normally $19, you can save big on this richly-lathering face wash while supporting a brand that keeps the environment top of mind.

Use the promo code TEN
Advertisement
Advertisement

¿Te afecta esta vulnerabilidad? Como explican los expertos Héctor Marcó e Ismael Ripoll, puedes comprobarlo tú mismo presionando 28 veces la tecla “Retroceso” (o Backspace) cuando Grub te pide el nombre de usuario. Si se abre la consola de rescate o el ordenador se reinicia, el error te afecta.

En ese caso, hay una solución de emergencia mientras Grub saca una actualización oficial. Los dos investigadores españoles han programado un parche que puedes instalar tú mismo con este código:

$ git clone git://git.savannah.gnu.org/grub.git grub.git $ cd grub.git $ wget http://hmarco.org/bugs/patches/0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch $ git apply 0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch

Advertisement

Los desarrolladores de Ubuntu, Red Hat y Debian también han publicado sus propios parches de emergencia. [Cybersecurity Group vía Motherboard]

Imagen: Lanski / Shutterstock

Advertisement

***

Psst! también puedes seguirnos en Twitter y Facebook :)