Linux 內核(linux kernel)最近爆出了多個漏洞,這些漏洞會允許攻擊者獲取特權,未經驗證訪問機密數據和現有賬戶。
以下是漏洞詳情:
漏洞詳情
1.CVE-2020-26088 嚴重程度:高
net / nfc / rawsock.c中的NFC套接字創建中缺少CAP_NET_RAW檢查,本地攻擊者可以繞過安全機制來使用其創建原始套接字,獲取特權,從而未經授權訪問機密數據和現有賬戶。
2.CVE-2020-25645 嚴重程度:高
當IPsec配置為對GENEVE隧道使用的特定UDP端口的通信進行加密時,兩個Geneve端點之間的通信可能不會被加密,從而允許兩個端點之間的任何人讀取未加密的通信。此漏洞的主要威脅是對數據保密性。
3.CVE-2020-27673 嚴重程度:高
該漏洞可能導致拒絕服務。每當一個事件被內核接受時,另一個事件就可以通過同一個事件進來通道。這個如果新事件以高速率傳入,則可能導致事件處理循環長時間運行。在極端情況下,這可能導致內核完全掛起,導致dom0受到影響時主機出現DoS(拒絕服務)。
4.CVE-2020-27675 嚴重程度:高
Linux內核事件通道處理代碼不會針對被并行刪除的同一事件通道來保護事件的處理。
這可能導致訪問已釋放的內存區域或在事件處理代碼中取消對空指針的引用,從而導致系統行為錯誤甚至崩潰。
5.CVE-2020-25643 嚴重程度:高
在HDLC_PPP模塊中發現了一個漏洞。ppp_cp_parse_cr函數中不正確的輸入驗證會導致內存損壞和讀取溢出,這可能導致系統崩潰或導致拒絕服務。此漏洞帶來的最大威脅是對數據機密性和完整性以及系統可用性的威脅。
受影響產品和版本
此漏洞影響Linux Kernel 5.9.1及更早版本(Linux發行版4.6內核以上)Linux 發行版:
RedHat RHEL 8,
Ubuntu Bionic(18.04)及更高版本,
Debian 9和10,
CentOS 8,
Fedora等基于這些內核的Linux發行版都會受到影響
解決方案
升級至Linux kernel 5.9.1或更新版本可修復上述漏洞
關鍵詞:
