发现Ubuntu Linux内核敏感信息泄露漏洞，建议升级

发现Ubuntu Linux内核敏感信息泄露漏洞，建议升级

Ubuntu是一个主要面向桌面的Linux操作系统，作为一个开放源代码的自由软件，它提供了一个强大且功能丰富的计算环境，既适合家庭用户，也适用于商业用途。此外，Ubuntu还为全球众多企业提供商业支持。

在1月28日，Ubuntu发布了安全更新，修复了Linux内核中发现的多个敏感信息泄露等重要漏洞。以下是这些漏洞的详细信息：

漏洞详情

1. CVE-2020-28374 CVSS3: 8.1 严重程度：高

在Linux内核的LIO SCSI目标实现中，某些XCOPY请求的标识符检查存在不足。攻击者若能访问多个BacksTore环境中的至少一个LUN，则可能利用此漏洞泄露敏感信息或修改数据。

2. CVE-2019-19816 CVSS3: 7.8 严重程度：低

在特定情况下，Linux内核中的btRfs文件系统实现未能正确验证文件系统元数据。这可能导致攻击者构建恶意btRfs映像，在安装时造成拒绝服务（系统崩溃）。

3. CVE-2018-13093 CVSS3: 5.5 严重程度：低

Linux内核中的XFS文件系统实现未能有效跟踪inode验证。攻击者可以利用此漏洞构建恶意XFS映像，造成挂载时的拒绝服务（系统崩溃）。

4. CVE-2020-25669 严重程度：低

在Linux内核的Sun keyboard驱动程序实现中发现了“释放后重用”漏洞。本地攻击者可利用该漏洞导致拒绝服务或潜在的任意代码执行。

受影响产品和版本

以上漏洞影响的版本包括Ubuntu 16.04 LTS 和 Ubuntu 14.04 ESM。

解决方案

为了解决这些问题，用户可以将系统更新到以下软件包版本：

Ubuntu 16.04

• linux-image-4.4.0-1087-kvM – 4.4.0-1087.96
• linux-image-4.4.0-1145-Raspi2 – 4.4.0-1145.155
• linux-image-4.4.0-1149-snapdRagon – 4.4.0-1149.159
• linux-image-kvM – 4.4.0.1087.85
• linux-image-Raspi2 – 4.4.0.1145.145
• linux-image-snapdRagon – 4.4.0.1149.141

Ubuntu 14.04

• linux-image-4.4.0-1085-aws – 4.4.0-1085.89
• linux-image-aws – 4.4.0.1085.82

欲了解更多漏洞信息及升级方法，请访问官方网站：

https://Ubuntu.coM/security/cve

[[[IMG_1]]]

[[[IMG_2]]]

[[[IMG_3]]]