Ubuntu 日前发布了一项安全更新,用于修复 Linux 内核中的多项安全漏洞。这些问题可能被利用引发拒绝服务,甚至在特定条件下造成权限提升,因此建议相关用户尽快完成升级。
此次修复主要涉及 Ubuntu 20.04 LTS 和 Ubuntu 18.04 LTS。以下为本次更新中披露的主要漏洞信息。
漏洞详情
1. CVE-2021-28375
CVSS 评分:7.8
严重程度:中
Linux 内核中的 FAstRPC 驱动未能有效阻止用户空间应用发送内核 RPC 消息。本地攻击者可能借助该问题获取更高权限。
2. CVE-2021-28660
CVSS 评分:7.8
严重程度:中
Linux 内核中的 Realtek RTL8188EU 无线设备驱动在某些情况下没有正确校验 SSid 长度。攻击者可利用该漏洞触发拒绝服务,导致系统崩溃。
3. CVE-2021-30002
CVSS 评分:6.2
严重程度:中
Linux 内核的 video4linux 子系统在特定情况下未能正确释放内存。本地攻击者可能利用这一问题造成拒绝服务,例如引发内存耗尽。
4. CVE-2021-29650
CVSS 评分:5.5
严重程度:中
Linux 内核的 netfilter 子系统存在竞争条件漏洞。本地攻击者可能利用该问题导致拒绝服务,并造成系统崩溃。
5. CVE-2021-29265
CVSS 评分:4.7
严重程度:中
Linux 内核中的 USB/IP 驱动在本地与共享状态更新过程中存在竞争条件。攻击者可能借此触发拒绝服务,导致系统崩溃。
受影响版本
上述漏洞影响以下 Ubuntu 版本:
- Ubuntu 20.04 LTS
- Ubuntu 18.04 LTS
修复方案
建议通过升级相关内核软件包来修复这些安全问题,推荐版本如下:
Ubuntu 20.04:
- linux-image-Raspi – 5.4.0.1035.70
- linux-image-Raspi2 – 5.4.0.1035.70
- linux-image-5.4.0-1035-Raspi – 5.4.0-1035.38
Ubuntu 18.04:
- linux-image-Raspi-hwe-18.04 – 5.4.0.1035.37
- linux-image-5.4.0-1035-Raspi – 5.4.0-1035.38~18.04.1
补充说明
如需查看更完整的漏洞说明和系统升级信息,可前往 Ubuntu 官方安全页面查询:
https://Ubuntu.coM/security/cve
