IT资讯 Canonical 发布 Ubuntu 内核安全更新,修复 20 多个漏洞

wilton · 2021-02-28 10:30:06 · 热度: 6

Canonical 近日针对所有仍在维护的 Ubuntu 版本发布了 Linux Kernel 安全更新,解决了 20 多个安全漏洞,并敦促所有 Ubuntu 用户更新。

Canonical 发布 Ubuntu 内核安全更新,修复 20 多个漏洞

此次 Ubuntu 的主要 Linux Kernel 更新中修补的最重要的漏洞是在 perf 子系统中发现的一个 CVE-2020-25704 漏洞,该漏洞可能允许特权攻击者导致拒绝服务(内核内存耗尽),以及 PowerPC RTAS 实现中的一个安全问题(CVE-2020-27777),该漏洞可能允许特权本地攻击者任意修改内核内存并绕过内核锁定限制。

此次新的 Ubuntu Kernel 安全更新中还修补了控制台键盘驱动程序中的一个条件竞争(Race condition,CVE-2020-25656)、TTY 驱动程序/子系统中的条件竞争(CVE-2020-25668)和一个 RAF 漏洞(CVE-2020-29660)、在 32 位系统上的 syscall 实现中发现的一个信息泄露(CVE-2020-28588),以及 framebuffer 控制台驱动程序中的一个漏洞(CVE-2020-28974)。所有这些漏洞都可能允许本地攻击者暴露敏感信息(内核内存)。

除了上述漏洞,此次更新还修复了可能允许本地攻击者导致拒绝服务或可能执行任意代码的漏洞。这些漏洞包括 Sun 键盘驱动程序中的一个 UAF 漏洞(CVE-2020-25669)、JFS 文件系统实现中的一个越界读取漏洞(CVE-2020-27815)、Speakup 屏幕阅读器驱动程序中的两个漏洞(CVE-2020-27830 和 CVE-2020-28941)、InfiniBand HFI1 设备驱动程序中的一个 UAF 漏洞 (CVE-2020-27835) 以及 TTY 子系统中的另一个条件竞争漏洞(CVE-2020-29661)。

Ubuntu Kernel 安全更新还修复了另外四个会影响云用户的漏洞,这些漏洞可能允许攻击者在 guest 虚拟机中引起主机操作系统拒绝服务,

新的内核安全更新解决了一个条件竞争(CVE-2020-35508),可能允许本地攻击者向任意进程发送信号,该漏洞只影响运行 Linux Kernel 5.8 的 Ubuntu 20.10 和 20.04.2 LTS 用户。此外,还修补了在 netfilter 子系统中发现的一个漏洞(CVE-2021-20177),该漏洞仅影响运行 Linux Kernel 5.4 的 Ubuntu 20.04 LTS 和 Ubuntu 18.04.5 LTS 用户,可能允许具有 CAP_NET_ADMIN 功能的本地攻击者导致拒绝服务。

最后一个漏洞(CVE-2020-29374)是在 Linux Kernel 的内存管理子系统中发现的,该漏洞可能允许本地攻击者获得对只读内存页的非预期的写入访问,这个漏洞只影响到运行 Linux Kernel 4.15 或 4.4 LTS 的 Ubuntu 18.04 LTS、Ubuntu 16.04 LTS 和 Ubuntu 14.04 ESM 用户。

除了这些安全修复之外,Canonical今天还发布了为运行 Linux Kernel 5.10 OEM 的 Ubuntu 20.04 LTS 系统带来了 OEM 内核更新,修复了在 LIO SCSI 目标实现中发现的漏洞(CVE-2020-28374),这是一个可能会允许攻击者访问多个 backstore 环境中的至少一个 LUN,从而暴露敏感信息或修改数据。

Canonical 敦促所有 Ubuntu 用户尽快安装此次更新。要将 Ubuntu 系统更新到新的内核版本,需要在终端应用程序中运行 sudo apt update && sudo apt full-upgrade 命令或使用软件更新器实用程序。在成功安装了新的内核版本后,别忘了重启你的电脑。

文章转载自 OSCHINA 社区 [http://www.oschina.net]

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册