云安全日报210825:Ubuntu Linux内核发现任意代码执行漏洞,需要尽快升级
Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu为全球数百个公司提供商业支持。
8月24日,Ubuntu发布了安全更新,修复了Linux内核中发现的任意代码执行漏洞。以下是漏洞详情:
漏洞详情
来源:https://ubuntu.com/security/notices/USN-5050-1
1.CVE-2021-28691 严重程度:中
Linux xen-netback 中来宾触发的释放后使用 恶意或有漏洞的网络 PV 前端可以强制 Linux netback 禁用接口并终止与队列 0 关联的接收内核线程,以响应前端发送畸形数据包。当后端被销毁时,这种内核线程终止将导致 Linux netback 中的 use-after-free,因为与队列 0 关联的内核线程已经退出,因此将针对过时的指针执行对 kthread_stop 的调用。
2.CVE-2021-3564 5.5 严重程度:中
在用户连接恶意 HCI TTY 蓝牙设备的方式中,发现了Linux内核HCI设备初始化子系统中的双重释放内存损坏漏洞。本地用户可以利用此漏洞使系统崩溃。此漏洞影响从 3.13 开始的所有 Linux 内核版本。
3.CVE-2021-3573 5.5 严重程度:中
发现Linux内核中的蓝牙子系统没有正确处理HCI设备分离事件,导致一个use-after-free漏洞。攻击者可以使用它来导致拒绝服务或可能执行任意代码。
4.CVE-2021-3587 严重程度:中
发现 Linux 内核中的 NFC 实现没有正确处理导致空指针取消引用的失败连接事件。本地攻击者可以使用它来导致拒绝服务。
5.CVE-2021-0129 严重程度:中
发现Linux内核中的蓝牙子系统没有正确执行访问控制。经过身份验证的攻击者可能会使用它来暴露敏感信息。
6.CVE-2020-26558 严重程度:中
蓝牙核心规范 2.1 至 5.2 中的蓝牙 LE 和 BR/EDR 安全配对可能允许附近的中间人攻击者通过反射公钥和身份验证来识别配对期间(在密码身份验证过程中)使用的密码发起设备的证据,可能允许此攻击者使用正确的配对会话密钥与响应设备完成经过身份验证的配对。攻击方法一次一位地确定密码值。
受影响产品和版本
上述漏洞影响Ubuntu 20.04 LTS(Amazon Web Services (AWS) 系统的 Linux 内核,Microsoft Azure 云系统的 Linux 内核,Google Cloud Platform (GCP) 系统的 Linux 内核,Oracle 云系统的 Linux 内核)
解决方案
可以通过将系统更新为以下软件包版本来解决此问题:
Ubuntu 20.04:
linux-image-5.8.0-1038-oracle - 5.8.0-1038.39~20.04.1
linux-image-5.8.0-1039-gcp - 5.8.0-1039.41
linux-image-azure - 5.8.0.1040.43~20.04.12
linux-image-oracle - 5.8.0.1038.39~20.04.14
linux-image-aws - 5.8.0.1042.44~20.04.14
linux-image-5.8.0-1042-aws - 5.8.0-1042.44~20.04.1
linux-image-gcp - 5.8.0.1039.14
linux-image-5.8.0-1040-azure - 5.8.0-1040.43~20.04.1
查看更多漏洞信息以及升级请访问官网:
https://ubuntu.com/security/cve
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
水滴公司组织架构调整 前滴滴高管朱泽涛加入
从游戏到超级数字场景 技术带来哪些想象
马斯克重返办公室工作计划遭遇现实尴尬:停车位不足 缺少办公桌
消息称iPhone 14零部件供应商已开始发货 发往代工商进行最终组装
外媒:日本将推动七国集团取消汽车零排放目标
小鹏汽车遭摩根大通减持3.65亿港元
携程2022年一季度营收41亿元 净亏损9.89亿元
国美零售:拟配售19.6亿股股份 筹资7.76亿港元
腾讯游戏发布12款新品 《王者荣耀》等推出新版本
更多
- 马斯克重返办公室工作计划遭遇现实尴尬:停车位不足 缺少办公桌
- 消息称iPhone 14零部件供应商已开始发货 发往代工商进行最终组装
- 外媒:日本将推动七国集团取消汽车零排放目标
- 现代汽车在印尼电动汽车市场份额超过90% 但销量还有很大提升空间
- 特斯拉、福特等汽车厂商掀涨价潮 美国电动车5月均价同比上涨22%
- 越南成为全球IT公司的新制造中心 外国直接投资占比最高
- 消息称苹果正研发M2 Pro芯片版Mac mini 还有两款MacBook Pro
- 分析师预计特斯拉Q2交付24.2万辆电动汽车 环比下滑明显但同比增长
- 外媒:现代和起亚成为美国市场最热门电动汽车
- LG电子收购韩国电动汽车充电器解决方案提供商AppleMango 60%股份