Ubuntu 系統內核發現拒絕服務或執行任意代碼漏洞，需盡快升級

　　Ubuntu 是一個以桌面應用為主的 Linux 操作系統。它是一個開放源代碼的自由軟件，提供了一個健壯、功能豐富的計算環境，既適合家庭使用又適用于商業環境。Ubuntu 為全球數百個公司提供商業支持。

　　12 月 2 日，Ubuntu 發布了安全更新 , 修復了系統內核拒絕服務、執行任意代碼等重要漏洞。以下是漏洞詳情：

　　漏洞詳情

　　來源：https://ubuntu.com/security/notices/USN-4658-1

　　1.CVE-2020-0423 CVSS 評分：7.8 高

　　Linux 內核中的 binder IPC 實現中存在競爭條件，導致釋放后使用漏洞。本地攻擊者可利用此漏洞造成拒絕服務(系統崩潰)或可能執行任意代碼。

　　2.CVE-2020-25645 CVSS 評分：7.5 高

　　Linux 內核中的 GENEVE 隧道實現與 IPSec 結合時，在某些情況下沒有正確選擇 IP 路由。攻擊者可以利用此漏洞暴露敏感信息(未加密的網絡流量)。

　　3.CVE-2020-25643 CVSS 評分：7.2 高

　　Linux 內核中的 hdlcppp 實現在某些情況下無法正確驗證輸入。本地攻擊者可利用此漏洞造成拒絕服務(系統崩潰)或可能執行任意代碼。

　　4.CVE-2020-25211 CVSS 評分：6.0 中

　　Linux 內核中 netlink 的 netfilter 連接跟蹤器在某些情況下沒有正確地執行邊界檢查。本地攻擊者可利用此漏洞造成拒絕服務(系統崩潰)

　　5.CVE-2020-14390 CVSS 評分：5.6 中

　　發現 Linux 內核中的幀緩沖區實現不能正確處理軟件回滾中的一些邊緣情況。本地攻擊者可利用此漏洞造成拒絕服務(系統崩潰)或可能執行任意代碼

　　6.CVE-2020-28915 CVSS 評分：5.5 中

　　在某些情況下，在 Linux 內核實現中發現它沒有正確執行 framebuffer 檢查。本地攻擊者可利用此漏洞暴露敏感信息(內核內存)。

　　7.CVE-2020-10135 CVSS 評分：5.4 中

　　藍牙協議中的傳統配對和安全連接配對身份驗證允許未經身份驗證的用戶通過相鄰訪問完成身份驗證，而無需配對憑據。物理上近鄰的攻擊者可以利用此來模擬先前配對的藍牙設備。

　　8.CVE-2020-25284 CVSS 評分：4.1 低

　　Linux 內核中的 Rados 塊設備(rbd)驅動程序在某些情況下沒有正確執行對 rbd 設備的訪問權限檢查。本地攻擊者可以使用此功能映射或取消映射 rbd 塊設備。

　　9.CVE-2020-4788 CVSS 評分：2.9 低

　　在某些情況下，power9 處理器可能會被迫暴露來自 L1 緩存的信息。本地攻擊者可以利用此漏洞來暴露敏感信息

　　受影響產品和版本

　　此漏洞影響 Ubuntu 20.04 LTS 和 Ubuntu 18.04 LTS

　　解決方案

　　可以通過將系統更新為以下軟件包版本來解決此問題：

　　Ubuntu 20.04:

　　linux-image-5.4.0-1028-kvm – 5.4.0-1028.29

　　linux-image-5.4.0-1030-aws – 5.4.0-1030.31

　　linux-image-5.4.0-1030-gcp – 5.4.0-1030.32

　　linux-image-5.4.0-1030-oracle – 5.4.0-1030.32

　　linux-image-5.4.0-1032-azure – 5.4.0-1032.33

　　linux-image-5.4.0-56-generic – 5.4.0-56.62

　　linux-image-5.4.0-56-generic-lpae – 5.4.0-56.62

　　linux-image-5.4.0-56-lowlatency – 5.4.0-56.62

　　linux-image-aws-5.4.0.1030.31

　　linux-image-azure-5.4.0.1032.30

　　linux-image-gcp-5.4.0.1030.38

　　linux-image-generic-5.4.0.56.59

　　linux-image-generic-hwe-20.04-5.4.0.56.59

　　linux-image-generic-lpae-5.4.0.56.59

　　linux-image-generic-lpae-hwe-20.04-5.4.0.56.59

　　linux-image-gke-5.4.0.1030.38

　　linux-image-kvm-5.4.0.1028.26

　　linux-image-lowlatency-5.4.0.56.59

　　linux-image-lowlatency-hwe-20.04-5.4.0.56.59

　　linux-image-oem-5.4.0.56.59

　　linux-image-oem-osp1-5.4.0.56.59

　　linux-image-oracle-5.4.0.1030.27

　　linux-image-virtual-5.4.0.56.59

　　linux-image-virtual-hwe-20.04-5.4.0.56.59

　　Ubuntu 18.04:

　　linux-image-5.4.0-1030-aws – 5.4.0-1030.31?18.04.1

　　linux-image-5.4.0-1030-gcp – 5.4.0-1030.32?18.04.1

　　linux-image-5.4.0-1030-oracle – 5.4.0-1030.32?18.04.1

　　linux-image-5.4.0-1032-azure – 5.4.0-1032.33?18.04.1

　　linux-image-5.4.0-56-generic – 5.4.0-56.62?18.04.1

　　linux-image-5.4.0-56-generic-lpae – 5.4.0-56.62?18.04.1

　　linux-image-5.4.0-56-lowlatency – 5.4.0-56.62?18.04.1

　　linux-image-aws-5.4.0.1030.15

　　linux-image-azure-5.4.0.1032.14

　　linux-image-gcp-5.4.0.1030.18

　　linux-image-generic-hwe-18.04-5.4.0.56.62?18.04.50

　　linux-image-generic-lpae-hwe-18.04-5.4.0.56.62?18.04.50

　　linux-image-lowlatency-hwe-18.04-5.4.0.56.62?18.04.50

　　linux-image-oem-osp1-5.4.0.56.62?18.04.50

　　linux-image-oracle-5.4.0.1030.14

　　linux-image-snapdragon-hwe-18.04-5.4.0.56.62?18.04.50

　　linux-image-virtual-hwe-18.04-5.4.0.56.62?18.04.50

　　查看更多漏洞信息 以及升級請訪問官網：

　　https://ubuntu.com/security/cve

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。