Linux 內(nèi)核(linux kernel)最近爆出了多個(gè)漏洞，這些漏洞會(huì)允許攻擊者獲取特權(quán)，未經(jīng)驗(yàn)證訪問機(jī)密數(shù)據(jù)和現(xiàn)有賬戶。以下是漏洞詳情：

漏洞詳情

1.CVE-2020-26088 嚴(yán)重程度：高

net / nfc / rawsock.c中的NFC套接字創(chuàng)建中缺少CAP_NET_RAW檢查，本地攻擊者可以繞過安全機(jī)制來使用其創(chuàng)建原始套接字，獲取特權(quán)，從而未經(jīng)授權(quán)訪問機(jī)密數(shù)據(jù)和現(xiàn)有賬戶。

2.CVE-2020-25645 嚴(yán)重程度：高

當(dāng)IPsec配置為對(duì)GENEVE隧道使用的特定UDP端口的通信進(jìn)行加密時(shí)，兩個(gè)Geneve端點(diǎn)之間的通信可能不會(huì)被加密，從而允許兩個(gè)端點(diǎn)之間的任何人讀取未加密的通信。此漏洞的主要威脅是對(duì)數(shù)據(jù)保密性。

3.CVE-2020-27673 嚴(yán)重程度：高

該漏洞可能導(dǎo)致拒絕服務(wù)。每當(dāng)一個(gè)事件被內(nèi)核接受時(shí)，另一個(gè)事件就可以通過同一個(gè)事件進(jìn)來通道。這個(gè)如果新事件以高速率傳入，則可能導(dǎo)致事件處理循環(huán)長(zhǎng)時(shí)間運(yùn)行。在極端情況下，這可能導(dǎo)致內(nèi)核完全掛起，導(dǎo)致dom0受到影響時(shí)主機(jī)出現(xiàn)DoS(拒絕服務(wù))。

4.CVE-2020-27675 嚴(yán)重程度：高

Linux內(nèi)核事件通道處理代碼不會(huì)針對(duì)被并行刪除的同一事件通道來保護(hù)事件的處理。

這可能導(dǎo)致訪問已釋放的內(nèi)存區(qū)域或在事件處理代碼中取消對(duì)空指針的引用，從而導(dǎo)致系統(tǒng)行為錯(cuò)誤甚至崩潰。

5.CVE-2020-25643 嚴(yán)重程度：高

在HDLC_PPP模塊中發(fā)現(xiàn)了一個(gè)漏洞。ppp_cp_parse_cr函數(shù)中不正確的輸入驗(yàn)證會(huì)導(dǎo)致內(nèi)存損壞和讀取溢出，這可能導(dǎo)致系統(tǒng)崩潰或?qū)е戮芙^服務(wù)。此漏洞帶來的最大威脅是對(duì)數(shù)據(jù)機(jī)密性和完整性以及系統(tǒng)可用性的威脅。

受影響產(chǎn)品和版本

此漏洞影響Linux Kernel 5.9.1及更早版本(Linux發(fā)行版4.6內(nèi)核以上)Linux 發(fā)行版：

RedHat RHEL 8,

Ubuntu Bionic（18.04）及更高版本,

Debian 9和10，

CentOS 8，

Fedora等基于這些內(nèi)核的Linux發(fā)行版都會(huì)受到影響

解決方案

升級(jí)至Linux kernel 5.9.1或更新版本可修復(fù)上述漏洞

文章主要來源：

https://www.auscert.org.au/bulletins/ESB-2020.3669/

免責(zé)聲明：以上內(nèi)容轉(zhuǎn)載自TMT觀察網(wǎng)，所發(fā)內(nèi)容不代表本平臺(tái)立場(chǎng)。
全國(guó)產(chǎn)經(jīng)平臺(tái)聯(lián)系電話：010-65367702，郵箱：hz@people-energy.com.cn，地址：北京市朝陽(yáng)區(qū)金臺(tái)西路2號(hào)人民日?qǐng)?bào)社

特別聲明：以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布，本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

他終于演 Gay 了！

下水道男孩

2025-05-16 10:12:05

直降2700元！蘋果官宣：5月16日，全面降價(jià)！

科技堡壘

2025-05-14 12:55:36

中國(guó)最年輕的南丁格爾獎(jiǎng)獲得者韓琳：讓全院護(hù)士同工同酬

金水路7號(hào)站

2025-05-15 14:29:33

相關(guān)知識(shí)

云安全日?qǐng)?bào)201026：Linux內(nèi)核發(fā)現(xiàn)數(shù)據(jù)泄露和特權(quán)升級(jí)漏洞，需要盡快升級(jí)
中國(guó)電信全新戰(zhàn)略升級(jí) 云改數(shù)轉(zhuǎn)為“未來”筑基
醫(yī)療大數(shù)據(jù)安全與隱私保護(hù)：數(shù)據(jù)分類分級(jí)的基石作用
揭秘Docker無bash反彈：安全漏洞還是高級(jí)技巧？揭秘企業(yè)級(jí)應(yīng)用中的風(fēng)險(xiǎn)與應(yīng)對(duì)策略
醫(yī)療數(shù)據(jù)泄露背后，設(shè)備配置為何成為關(guān)鍵防線？
醫(yī)療健康大數(shù)據(jù)分類分級(jí)使用標(biāo)準(zhǔn)研究（一）
武康健康保健集團(tuán)中醫(yī)院院區(qū)360天擎終端殺毒軟件項(xiàng)目院內(nèi)詢價(jià)公告
Alibaba Cloud Linux 2停止維護(hù)（EOL）后的應(yīng)對(duì)方案
全面揭秘疫情下醫(yī)療網(wǎng)絡(luò)安全風(fēng)險(xiǎn)！超 80% 健康 App 有高危漏洞，暴力攻擊單日 80 萬次
網(wǎng)絡(luò)安全

網(wǎng)址: 云安全日?qǐng)?bào)201026：Linux內(nèi)核發(fā)現(xiàn)數(shù)據(jù)泄露和特權(quán)升級(jí)漏洞，需要盡快升級(jí) http://www.u1s5d6.cn/newsview1264094.html