互联网技术 / 互联网资讯 · 2024年1月8日

openmagic_cn_banner

Ubuntu Linux内核存在任意代码执行和拒绝服务漏洞,建议尽快升级

Ubuntu 官方发布了针对 Linux 内核的安全更新,修复了多项可能导致任意代码执行、权限提升以及拒绝服务的安全漏洞。对于仍在使用受影响版本的系统,建议尽快完成内核升级,以降低安全风险。

漏洞概览

openmagic_cn_banner

本次更新涉及多项 Linux 内核漏洞,主要集中在 llcp 相关实现以及部分驱动代码中,可能带来释放后使用、内存泄漏、越界写入和系统挂起等问题。

  • CVE-2020-25670:严重程度为中。llcp_sock_bind() 中存在引用计数泄漏问题,可能引发释放后使用,进而导致权限提升。
  • CVE-2020-25671:严重程度为中。llcp_sock_connect() 中的引用计数泄漏可能造成 use-after-free,从而带来权限升级风险。
  • CVE-2020-25672:严重程度为中。llcp_sock_connect() 中存在内存泄漏漏洞。
  • CVE-2020-25673:严重程度为中。llcp_sock_connect() 对非阻塞套接字的处理存在泄漏问题,可能最终导致系统挂起,形成拒绝服务。
  • CVE-2021-28660:严重程度为中。自 5.11.6 起,Linux 内核 drivers/staging/rtl8188eu/os_dep/ioctl_linux.c 中的 Rtw_wx_set_scan 存在越界写入问题,允许写入超出 ->SSID[] 数组末尾的数据。

受影响版本

以下 Ubuntu 版本受到上述漏洞影响:

  • Ubuntu 18.04 LTS
  • Ubuntu 16.04 ESM
  • Ubuntu 14.04 ESM

修复方案

官方建议通过升级内核相关软件包来修复这些问题。可根据当前系统版本和所使用的内核分支,更新至对应的安全版本。

Ubuntu 18.04

可升级至以下软件包版本:

  • linux-image-4.15.0-1100-gcp – 4.15.0-1100.113
  • linux-image-4.15.0-1092-kvm – 4.15.0-1092.94
  • linux-image-4.15.0-144-generic-lpae – 4.15.0-144.148
  • linux-image-gcp-lts-18.04 – 4.15.0.1100.118
  • linux-image-oracle-lts-18.04 – 4.15.0.1072.82
  • linux-image-4.15.0-1103-snapdragon – 4.15.0-1103.112
  • linux-image-virtual – 4.15.0.144.131
  • linux-image-snapdragon – 4.15.0.1103.106
  • linux-image-4.15.0-144-generic – 4.15.0-144.148
  • linux-image-4.15.0-1072-oracle – 4.15.0-1072.80
  • linux-image-aws-lts-18.04 – 4.15.0.1103.106
  • linux-image-generic – 4.15.0.144.131
  • linux-image-4.15.0-1103-aws – 4.15.0-1103.110
  • linux-image-4.15.0-1115-azure – 4.15.0-1115.128
  • linux-image-kvm – 4.15.0.1092.88
  • linux-image-azure-lts-18.04 – 4.15.0.1115.88
  • linux-image-4.15.0-144-lowlatency – 4.15.0-144.148
  • linux-image-generic-lpae – 4.15.0.144.131
  • linux-image-lowlatency – 4.15.0.144.131

Ubuntu 16.04

openmagic_cn_banner

可升级至以下软件包版本:

  • linux-image-gke – 4.15.0.1100.101
  • linux-image-oracle – 4.15.0.1072.60
  • linux-image-4.15.0-1100-gcp – 4.15.0-1100.113~16.04.1
  • linux-image-4.15.0-144-lowlatency – 4.15.0-144.148~16.04.1
  • linux-image-4.15.0-1103-aws – 4.15.0-1103.110~16.04.1
  • linux-image-lowlatency-hwe-16.04 – 4.15.0.144.140
  • linux-image-4.15.0-1115-azure – 4.15.0-1115.128~16.04.1
  • linux-image-generic-hwe-16.04 – 4.15.0.144.140
  • linux-image-4.15.0-144-generic – 4.15.0-144.148~16.04.1
  • linux-image-gcp – 4.15.0.1100.101
  • linux-image-oem – 4.15.0.144.140
  • linux-image-virtual-hwe-16.04 – 4.15.0.144.140
  • linux-image-azure – 4.15.0.1115.106
  • linux-image-aws-hwe – 4.15.0.1103.94
  • linux-image-4.15.0-1072-oracle – 4.15.0-1072.80~16.04.1

Ubuntu 14.04

可升级至以下软件包版本:

  • linux-image-4.15.0-1115-azure – 4.15.0-1115.128~14.04.1
  • linux-image-azure – 4.15.0.1115.88

建议操作

如果你的系统仍运行在上述受影响版本上,建议尽快检查当前内核软件包,并根据所处版本分支更新到官方提供的修复版本。升级完成后,通常还需要重启系统,使新内核生效。

更多漏洞说明及后续安全公告,可参考 Ubuntu 官方安全页面:

https://ubuntu.com/security/cve

You may also like...

openmagic_cn_banner