Ubuntu 主要面向桌面场景,是一款开源的 Linux 操作系统,兼顾个人和商业环境使用需求。近期,官方发布安全更新,修复了配套 LZ4 解压缩工具中的重要安全漏洞,涉及拒绝服务和可能的任意代码执行风险。
LZ4 是一种高效的无损压缩算法,常用于数据压缩与解压缩处理。根据官方安全通告,此次问题源于 LZ4 在部分内存操作处理上的缺陷。如果用户或自动化系统解压经过特制的 LZ4 文件,攻击者可能借此触发程序崩溃,造成拒绝服务,严重情况下还可能执行任意代码。
漏洞信息
CVE-2021-3520
风险等级:中
该漏洞的核心原因是 LZ4 对某些内存操作处理不当。在特定条件下,远程攻击者可通过构造恶意压缩文件,在目标系统执行解压操作时利用该问题,进而导致服务中断,或进一步造成任意代码执行。
受影响版本
- Ubuntu 21.04
- Ubuntu 20.10
- Ubuntu 20.04 LTS
- Ubuntu 18.04 LTS
修复方案
建议受影响用户尽快通过系统更新,将相关软件包升级到以下安全版本:
- Ubuntu 21.04:liblz4-1 – 1.9.3-1ubuntu0.1
- Ubuntu 20.10:liblz4-1 – 1.9.2-2ubuntu0.20.10.1
- Ubuntu 20.04:liblz4-1 – 1.9.2-2ubuntu0.20.04.1
- Ubuntu 18.04:liblz4-1 – 0.0~r131-2ubuntu3.1
建议措施
对于运行上述版本 Ubuntu 的设备,应尽快完成安全更新,尤其是存在自动解压流程、批量文件处理任务或面向外部提供服务的环境,更应优先排查和修复,以降低被利用风险。
如需进一步核对漏洞细节和补丁信息,可结合系统当前安装版本查看对应安全更新公告。
