壹站邦

ｕｂｕｎｔｕ是一种Ｌｉｎｕｘ操作系统，主要使用桌面应用。这是一个开放源代码的自由软件，提供了一个健壮、功能丰富的计算环境，适合家庭和商业环境。Ｕｂｕｎｔｕ为世界各地数百家企业提供商业支持。

Ｕｂｕｎｔｕ在８月２４日发布了安全更新，修复在Ｌｉｎｕｘ内核中发现的任意代码执行漏洞。这些漏洞的详细信息：

缺陷细节。

资源：ｈｔｔｐｓ：／／ｕｂｕｎｔｕ．ｃｏｍ／ｓｅｃｕｒｉｔｙ／ｎｏｔｉｃｅｓ／ＵＳＮ－５０５０－１。

１．ＣＶＥ－２０２１－２８６９１严重性：中。

在释放后，用户在Ｌｉｎｕｘｘｅｎ－ｎｅｔｂａｃｋ中使用了恶意或有漏洞的网络ＰＶ前端，可以强制Ｌｉｎｕｘｎｅｔｂａｃｋ禁用接口，并终止与队列０关联的接收内核线程，以响应前端发送异常数据包。这个内核线程终止在后端被销毁时会导致Ｌｉｎｕｘｎｅｔｂａｃｋ中的ｕｓｅ－ａｆｔｅｒ－ｆｒｅｅ，因为与队列０相关的内核线程已经退出，因此对一个过时指针执行调用ｋｔｈｒｅａｄ＿ｓｔｏｐ。

２．ＣＶＥ－２０２１－３５６４５．５严重性：中。

当用户连接一个恶意的ＨＣＩＴＴＹ蓝牙设备时，在Ｌｉｎｕｘ内核ＨＣＩ设备初始化子系统中发现了双重释放内存损坏漏洞。局部用户可能会利用这个漏洞导致系统崩溃。这个漏洞从３．１３开始影响所有Ｌｉｎｕｘ内核版本。

３．ＣＶＥ－２０２１－３５７３５．５严重性：中。

在Ｌｉｎｕｘ内核中发现Ｂｌｕｓｅ－ａｆｔｅｒ－ｆｒｅｅ漏洞并未正确处理ＨＣＩ设备分离事件，这是一个错误。攻击者可以使用它导致拒绝服务或执行任意代码。

４．ＣＶＥ－２０２１－３５８７严重性。

在Ｌｉｎｕｘ内核中发现ＮＦＣ实现不能正确处理导致空指针未引用的连接事件。局部攻击者可以使用它来导致拒绝服务。

５．ＣＶＥ－２０２１－０１２９严重性：中。

在Ｌｉｎｕｘ内核中发现Ｂｌｕｅｔｏｏｔｈ子系统未正确执行访问控制。认证过的攻击者可以用它来暴露敏感信息。

６．严重程度ＣＶＥ－２０２０－２６５５８。

Ｂｌｕｅｔｏｏｔｈ核心规范２．１至５．２中的ＢｌｕｅｔｏｏｔｈＬＥ和ＢＲ／ＥＤＲ安全配对可能使邻近的中介攻击者能够通过反射公钥和身份验证来确定配对期间所用密码启动装置（在密码身份验证过程中），从而使该攻击者能够用正确的配对会话密钥与响应设备完成身份验证。