云安全日报210926：Debian Linux内核发现特权提升,信息泄露漏洞，需要尽快升级

Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机，台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来，它的稳定性和可靠性就深受用户喜爱。

9月25日,Debian发布了安全更新,修复了Linux内核中发现的特权提升，信息泄露等重要漏洞。以下是漏洞详情：

漏洞详情

来源：https://www.debian.org/security/2021/dsa-4978

1.CVE-2021-41073 严重程度: 重要

Linux在内核io_uring 中发现了一个漏洞，允许本地攻击者提升权限

2.CVE-2021-40490 严重程度: 中等

在写入 inline_data 文件时，在 ext4 子系统中发现了竞争条件，同时其 xattrs 正在更改。这可能会导致拒绝服务。

3.CVE-2020-16119 严重程度: 中等

Linux 内核中 DCCP 协议实现中的 use-after-free。本地攻击者可以利用此漏洞导致拒绝服务或可能执行任意代码。

4.CVE-2021-38166 严重程度: 中等

BPF 子系统中的整数溢出缺陷可能允许本地攻击者导致拒绝服务或可能执行任意代码。由于禁用了对 bpf() 的非特权调用，因此该缺陷在 Debian 中默认得到缓解。

5.CVE-2020-3702 严重程度: 中等

在 Atheros IEEE 802.11n 系列芯片组 (ath9k) 的驱动程序中发现了一个允许信息泄露的缺陷。

6.CVE-2021-3743 严重程度: 中等

在 Qualcomm IPC 路由器协议实现中发现了越界内存读取，从而导致拒绝服务或信息泄漏。

受影响产品及版本

上述漏洞影响Debian稳定发行版（bullseye）Linux内核5.10.46-5之前版本

解决方案

Debian稳定发行版（bullseye）Linux内核升级5.10.46-5可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.debian.org/lts/security/