这是一个桌面优先的 Linux 发行版,开源自由软件,提供健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。该发行版为全球多家企业提供商业支持。
8月24日,安全更新已发布,修复了内核中发现的任意代码执行漏洞。以下为漏洞要点:
漏洞详情
- CVE-2021-28691 严重程度:中
在 xen-netback 的来宾触发释放后使用的漏洞,恶意或有漏洞的网络前端可能导致内核线程异常终止并响应畸形数据包,后端销毁时可能触发对 kthRead_stop 的调用。 - CVE-2021-3564 严重程度:中
在连接恶意蓝牙 HCI 设备时,内核 HCI 子系统初始化阶段出现双重释放内存损坏,本地用户可利用使系统崩溃,影响从 3.13 及以后的所有内核版本。 - CVE-2021-3573 严重程度:中
蓝牙子系统未正确处理 HCI 设备分离事件,导致 use-after-free,可能导致拒绝服务或执行任意代码。 - CVE-2021-3587 严重程度:中
NFC 实现未正确处理导致空指针取消引用的失败连接事件,可能导致拒绝服务。 - CVE-2021-0129 严重程度:中
蓝牙子系统未正确执行访问控制,经过身份验证的攻击者可能暴露敏感信息。 - CVE-2020-26558 严重程度:中
蓝牙配对阶段的安全性实现可能允许中间人通过反射公钥和身份验证来识别设备,攻击者可利用正确的会话密钥完成经过身份验证的配对,逐步推断密码值。
受影响产品和版本
上述漏洞影响部分通用发行版本的 Linux 内核,特别是某些云环境的内核镜像。
解决方案
通过更新系统至以下软件包版本来修复:
- Ubuntu 20.04:
- linux-image-5.8.0-1038-oracle – 5.8.0-1038.39~20.04.1
- linux-image-5.8.0-1039-gcp – 5.8.0-1039.41
- linux-image-azure – 5.8.0.1040.43~20.04.12
- linux-image-oracle – 5.8.0.1038.39~20.04.14
- linux-image-aws – 5.8.0.1042.44~20.04.14
- linux-image-5.8.0-1042-aws – 5.8.0-1042.44~20.04.1
- linux-image-gcp – 5.8.0.1039.14
- linux-image-5.8.0-1040-azure – 5.8.0-1040.43~20.04.1
查看更多漏洞信息以及升级请访问官网:
https://ubuntu.com/security/cve
