云安全日报210825:Ubuntu Linux内核发现任意代码执行漏洞,需要尽快升级
发布时间:2021-08-26 00:22:17ubuntu是一种Linux操作系统,主要使用桌面应用。这是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,适合家庭和商业环境。Ubuntu为世界各地数百家企业提供商业支持。
Ubuntu在8月24日发布了安全更新,修复在Linux内核中发现的任意代码执行漏洞。这些漏洞的详细信息:
缺陷细节。
资源:https://ubuntu.com/security/notices/USN-5050-1。
1.CVE-2021-28691严重性:中。
在释放后,用户在Linuxxen-netback中使用了恶意或有漏洞的网络PV前端,可以强制Linuxnetback禁用接口,并终止与队列0关联的接收内核线程,以响应前端发送异常数据包。这个内核线程终止在后端被销毁时会导致Linuxnetback中的use-after-free,因为与队列0相关的内核线程已经退出,因此对一个过时指针执行调用kthread_stop。
2.CVE-2021-35645.5严重性:中。
当用户连接一个恶意的HCITTY蓝牙设备时,在Linux内核HCI设备初始化子系统中发现了双重释放内存损坏漏洞。局部用户可能会利用这个漏洞导致系统崩溃。这个漏洞从3.13开始影响所有Linux内核版本。
3.CVE-2021-35735.5严重性:中。
在Linux内核中发现Bluse-after-free漏洞并未正确处理HCI设备分离事件,这是一个错误。攻击者可以使用它导致拒绝服务或执行任意代码。
4.CVE-2021-3587严重性。
在Linux内核中发现NFC实现不能正确处理导致空指针未引用的连接事件。局部攻击者可以使用它来导致拒绝服务。
5.CVE-2021-0129严重性:中。
在Linux内核中发现Bluetooth子系统未正确执行访问控制。认证过的攻击者可以用它来暴露敏感信息。
6.严重程度CVE-2020-26558。
Bluetooth核心规范2.1至5.2中的BluetoothLE和BR/EDR安全配对可能使邻近的中介攻击者能够通过反射公钥和身份验证来确定配对期间所用密码启动装置(在密码身份验证过程中),从而使该攻击者能够用正确的配对会话密钥与响应设备完成身份验证。
大客户报价,技术方案