Ubuntu内核存在安全漏洞，建议尽快升级

Ubuntu是一个主要用于桌面应用的Linux操作系统，作为开放源代码的自由软件，它提供了一个强大且功能全面的计算环境，适合家庭和商业使用。同时，Ubuntu为全球数以百计的公司提供商业支持。

在12月2日，Ubuntu发布了重要的安全更新，修复了系统内核中的多个关键漏洞，包括拒绝服务和任意代码执行等问题。以下是漏洞的具体信息：

漏洞详情

来源：Ubuntu安全通知

1. CVE-2020-0423 CVSS评分：7.8 高

在Linux内核的BIndeR IPC实现中，存在竞争条件，可能导致释放后使用漏洞。本地攻击者可利用该漏洞造成系统崩溃或执行任意代码。

2. CVE-2020-25645 CVSS评分：7.5 高

Linux内核中的GENEVE隧道实现与IPSec结合时，在某些情况下未能正确选择IP路由。攻击者可利用此漏洞泄露敏感信息，如未加密的网络流量。

3. CVE-2020-25643 CVSS评分：7.2 高

在Linux内核中的hdlCPpp实现里，某些情况下输入验证不当。本地攻击者可以利用此漏洞造成系统崩溃或执行任意代码。

4. CVE-2020-25211 CVSS评分：6.0 中

在Linux内核中，netlink的netfilteR连接跟踪器在某些情况下未能正确执行边界检查。本地攻击者可利用此漏洞导致系统崩溃。

5. CVE-2020-14390 CVSS评分：5.6 中

发现Linux内核中的帧缓冲区实现未能妥善处理软件回滚中的某些边缘情况。本地攻击者可利用此漏洞导致系统崩溃或执行任意代码。

6. CVE-2020-28915 CVSS评分：5.5 中

在某些情况下，Linux内核实现未能正确执行fRaMebuFFeR检查。本地攻击者可利用此漏洞泄露敏感信息，如内核内存。

7. CVE-2020-10135 CVSS评分：5.4 中

蓝牙协议中的传统配对和安全连接配对身份验证允许未经验证的用户通过邻近访问完成身份验证，无需配对凭据。物理上接近的攻击者可利用此方式模拟已配对的蓝牙设备。

8. CVE-2020-25284 CVSS评分：4.1 低

在Linux内核中的Rados块设备（Rbd）驱动程序中，某些情况下未能正确执行对Rbd设备的访问权限检查。本地攻击者可以利用此漏洞映射或取消映射Rbd块设备。

9. CVE-2020-4788 CVSS评分：2.9 低

在某些情况下，poweR9处理器可能被迫暴露来自L1缓存的信息。本地攻击者可利用此漏洞泄露敏感信息。

受影响的产品与版本

这些漏洞影响Ubuntu 20.04 LTS和Ubuntu 18.04 LTS版本。

解决方案

可通过将系统更新至以下软件包版本来解决上述问题：

Ubuntu 20.04:

Ubuntu 18.04:

互联网技术 / 互联网资讯 · 2023年11月9日 0