云安全日报210929:Ubuntu Linux内核发现拒绝服务漏
Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu为全球数百个公司提供商业支持。
9月28日,Ubuntu发布了安全更新,修复了Ubuntu Linux内核发现拒绝服务等重要漏洞。以下是漏洞详情
漏洞详情
来源:https://ubuntu./security/notices/USN-5091-1
1.CVE-2021-38160 CVSS评分:7.8 严重程度:中等
5.13.4 之前的 Linux 内核中的drivers/char/virtio_console.c 中,数据损坏或丢失可能由提供超过缓冲区大小的 buf->len 值的不受信任设备触发。注意供应商表示引用的数据损坏不是任何现有用例中的漏洞;添加长度验证仅是为了在主机操作系统行为异常时的稳健性。
2.CVE-2021-37576 CVSS评分:7.8 严重程度:中等
Linux 内核中的 arch/poerpc/kvm/book3s_rtas.c 到 poerpc 平台上的 5.13.5 允许 KVM 来宾操作系统用户通过 rtas_args.nargs(又名 CID-f62f3c20647e)导致主机操作系统内存损坏。
3.CVE-2021-38204 CVSS评分:6.8 严重程度:中等
在 5.13.6 之前的 Linux 内核中,drivers/usb/host/max3421-hcd.c 允许物理上接近的攻击者在某些情况下通过移除 MAX-3421 USB 设备来导致拒绝服务(释放后使用和恐慌)。
4.CVE-2021-38199 CVSS评分:6.5 严重程度:中等
5.13.4 之前的 Linux 内核中的 fs/nfs/nfs4client.c 具有不正确的连接设置顺序,这允许远程 NFSv4 服务器的操作员通过安排这些服务器在中继期间无法访问来导致拒绝服务(挂载)检测。
5.CVE-2021-3679 CVSS评分:5.5 严重程度:中等
在用户以特定方式使用跟踪环缓冲区的方式中发现 5.14-rc3 之前版本的 Linux 内核跟踪模块功能中缺少 CPU 资源。只有特权本地用户(具有 CAP_SYS_ADMIN 功能)才能使用此缺陷来使资源匮乏,从而导致拒绝服务。
6.CVE-2021-33624 CVSS评分:4.7 严重程度:中等
在 5.12.13 之前的 Linux 内核中的 kernel/bpf/verifier.c 中,分支可能会被错误预测(例如,由于类型混淆),无特权的 BPF 程序可以通过旁道攻击(又名 CID)读取任意内存位置-9183671af6db。
受影响产品和版本
上述漏洞影响Ubuntu 20.04 LTS 和 Ubuntu 18.04 LTS
解决方案
官方已发布更新,修复了上述漏洞。
Ubuntu 20.04:
linux-image-5.4.0-88-lolatency - 5.4.0-88.99
linux-image-gkeop - 5.4.0.1024.27
linux-image-virtual - 5.4.0.88.92
linux-image-5.4.0-88-generic-lpae - 5.4.0-88.99
linux-image-generic - 5.4.0.88.92
linux-image-oem - 5.4.0.88.92
linux-image-oem-osp1 - 5.4.0.88.92
linux-image-5.4.0-1057-as - 5.4.0-1057.60
linux-image-azure- lts -20.04 - 5.4.0.1059.57
linux-image-5.4.0-88-generic - 5.4.0-88.99
linux-image-5.4.0-1053-gke - 5.4.0-1053.56
linux-image-gkeop-5.4 - 5.4.0.1024.27
linux-image-5.4.0-1059-azure - 5.4.0-1059.62
linux-image-5.4.0-1024-gkeop - 5.4.0-1024.25
linux-image-gcp- lts -20.04 - 5.4.0.1053.63
linux-image-as- lts -20.04 - 5.4.0.1057.60
linux-image-5.4.0-1055-oracle - 5.4.0-1055.59
linux-image-5.4.0-1047-kvm - 5.4.0-1047.49
linux-image-generic-lpae - 5.4.0.88.92
linux-image-oracle- lts -20.04 - 5.4.0.1055.55
linux-image-gke - 5.4.0.1053.63
linux-image-kvm - 5.4.0.1047.46
linux-image-gke-5.4 - 5.4.0.1053.63
linux-image-5.4.0-1053-gcp - 5.4.0-1053.57
linux-image-lolatency - 5.4.0.88.92
Ubuntu 18.04:
linux-image-5.4.0-87-lolatency - 5.4.0-87.98~18.04.1
linux-image-generic-he-18.04 - 5.4.0.87.98~18.04.78
linux-image-snapdragon-he-18.04 - 5.4.0.87.98~18.04.78
linux-image-oem - 5.4.0.87.98~18.04.78
linux-image-as - 5.4.0.1057.40
linux-image-5.4.0-87-generic-lpae - 5.4.0-87.98~18.04.1
linux-image-oem-osp1 - 5.4.0.87.98~18.04.78
linux-image-5.4.0-1057-as - 5.4.0-1057.60~18.04.1
linux-image-generic-lpae-he-18.04 - 5.4.0.87.98~18.04.78
linux-image-5.4.0-1059-azure - 5.4.0-1059.62~18.04.1
linux-image-gkeop-5.4 - 5.4.0.1024.25~18.04.25
linux-image-azure - 5.4.0.1059.39
linux-image-5.4.0-1024-gkeop - 5.4.0-1024.25~18.04.1
linux-image-virtual-he-18.04 - 5.4.0.87.98~18.04.78
linux-image-5.4.0-1055-oracle - 5.4.0-1055.59~18.04.1
linux-image-gcp - 5.4.0.1053.39
linux-image-oracle - 5.4.0.1055.59~18.04.35
linux-image-lolatency-he-18.04 - 5.4.0.87.98~18.04.78
linux-image-gke-5.4 - 5.4.0.1053.56~18.04.18
linux-image-5.4.0-1053-gke - 5.4.0-1053.56~18.04.1
linux-image-5.4.0-87-generic - 5.4.0-87.98~18.04.1
linux-image-5.4.0-1053-gcp - 5.4.0-1053.57~18.04.1
查看更多漏洞信息 以及升级请访问官网
https://ubuntu./security/cve
人工智能培训
- 真正能和人交流的机器人什么时候实现
- 国产机器人成功完成首例远程冠脉介入手术
- 人工智能与第四次工业革命
- 未来30年的AI和物联网
- 新三板创新层公司东方水利新增专利授权:“一
- 发展人工智能是让人和机器更好地合作
- 新春贺喜! 经开区持续推进工业互联网平台建设
- 以工业机器人为桥 传统企业如何趟过智造这条河
- 山立滤芯SAGL-1HH SAGL-2HH
- 2015国际智能星创师大赛火热报名中!
- 未来机器人会咋看人类?递归神经网络之父-像蚂
- 成都新川人工智能创新中心二期主体结构封顶
- 斯坦德机器人完成数亿元人民币C轮融资,小米产
- 到2020年,智能手机将拥有十项AI功能,有些可能
- 寻找AI机器人的增长“跳板”:老龄化为支点的产
- 力升高科耐高温消防机器人参加某支队性能测试