软萌小仙自慰喷白浆,日韩av一区,二区,三区,日日夜夜精品视频,日日夜夜精品视频 ,欧美性色黄大片手机版,三级在线看中文字幕完整版

關(guān)于我們

質(zhì)量為本、客戶(hù)為根、勇于拼搏、務(wù)實(shí)創(chuàng)新

< 返回

Linux內(nèi)核多個(gè)安全漏洞風(fēng)險(xiǎn)通告(CVE-2021-27363,CVE-2021-27364,CVE-2021-27365)

發(fā)布時(shí)間:2021-03-15 22:59:57

尊敬的用戶(hù),您好!

近日,互聯(lián)網(wǎng)安全運(yùn)營(yíng)中心監(jiān)測(cè)到,國(guó)外研究團(tuán)隊(duì)披露多個(gè)Linux內(nèi)核安全漏洞,漏洞編號(hào):CVE-2021-27363,CVE-2021-27364,CVE-2021-27365,普通用戶(hù)可以通過(guò)利用此漏洞,在已加載scsi_transport_iscsi內(nèi)核模塊的Linux發(fā)行版主機(jī)上獲取root權(quán)限。

為避免您的業(yè)務(wù)受影響,棉花云安全建議您及時(shí)開(kāi)展安全自查,如在受影響范圍,請(qǐng)您及時(shí)進(jìn)行更新修復(fù),避免被外部攻擊者入侵。


漏洞詳情

iSCSI使用 TCP/IP 協(xié)議(一般使用TCP端口860和3260)。在兩部計(jì)算機(jī)之間利用iSCSI的協(xié)議來(lái)交換SCSI命令,讓計(jì)算機(jī)可以通過(guò)高速的局域網(wǎng)集線(xiàn)來(lái)把SAN模擬成為本地的儲(chǔ)存設(shè)備。 


CVE-2021-27363 內(nèi)核指針泄露(信息泄露):

內(nèi)核指針泄漏可以用來(lái)確定iscsi_transport結(jié)構(gòu)的地址。當(dāng)一個(gè)iSCSI傳輸在iSCSI子系統(tǒng)中注冊(cè)時(shí),傳輸?shù)木浔梢酝ㄟ^(guò)sysfs文件系統(tǒng)在/sys/class/iscsi_transport/$TRANSPORT_NAME/handle處被非root用戶(hù)獲取。當(dāng)讀取時(shí),show_transport_handle函數(shù)(在drivers/scsi/scsi_transport_iscsi.c中)會(huì)被調(diào)用,從而可泄露該句柄。


CVE-2021-27364 越界讀?。ㄐ畔⑿孤叮芙^服務(wù)):

由于drivers/scsi/scsi_transport_iscsi.c 受到非root用戶(hù)發(fā)送的惡意 Netlink 消息的影響,導(dǎo)致iSCSI中存在越界讀取漏洞


CVE-2021-27365 堆緩沖區(qū)溢出(本地權(quán)限提升、信息泄露、拒絕服務(wù)):

由于某些iSCSI數(shù)據(jù)結(jié)構(gòu)沒(méi)有適當(dāng)?shù)拈L(zhǎng)度限制或檢查,并可能超過(guò)PAGE_SIZE值。非root用戶(hù)的攻擊者可以發(fā)送與iSCSI關(guān)聯(lián)的Netlink消息,并使其長(zhǎng)度為Netlink消息的最大長(zhǎng)度,最終可導(dǎo)致在目標(biāo)系統(tǒng)上提升權(quán)限等危害。


風(fēng)險(xiǎn)等級(jí)

漏洞風(fēng)險(xiǎn)

攻擊者可利用該漏洞造成提升權(quán)限,拒絕服務(wù)等危害,漏洞細(xì)節(jié)已公開(kāi)

影響版本

Linux 內(nèi)核版本 < 5.11.4;

Linux 內(nèi)核版本 < 5.10.21;

Linux 內(nèi)核版本 < 5.4.103;

Linux 內(nèi)核版本 < 4.19.179;

Linux 內(nèi)核版本 < 4.14.224;

Linux 內(nèi)核版本 < 4.9.260;

Linux 內(nèi)核版本 < 4.4.260 

及其他所有加載scsi_transport_iscsi內(nèi)核模塊的Linux發(fā)行版

安全版本

Linux 內(nèi)核版本 >= 5.11.4;

Linux 內(nèi)核版本 >= 5.10.21;

Linux 內(nèi)核版本 >= 5.4.103;

Linux 內(nèi)核版本 >= 4.19.179;

Linux 內(nèi)核版本 >= 4.14.224;

Linux 內(nèi)核版本 >= 4.9.260;

Linux 內(nèi)核版本 >= 4.4.260


修復(fù)建議

目前上述Linux內(nèi)核安全版本已修復(fù)相關(guān)漏洞,請(qǐng)檢查所使用的Linux內(nèi)核版本,并酌情及時(shí)升級(jí)至安全版本。(對(duì)于 3.x 和 2.6.23 等不再受支持的 EOL 內(nèi)核版本,將不會(huì)發(fā)布針對(duì)上述漏洞的補(bǔ)丁

官方網(wǎng)站:https://www.kernel.org/ 


【備注】:建議您在升級(jí)前做好數(shù)據(jù)備份工作,測(cè)試并評(píng)估業(yè)務(wù)運(yùn)行狀況,避免出現(xiàn)意外

漏洞參考

https://nvd.nist.gov/vuln/detail/CVE-2021-27363 

https://nvd.nist.gov/vuln/detail/CVE-2021-27364 

https://nvd.nist.gov/vuln/detail/CVE-2021-27365 

https://blog.grimm-co.com/2021/03/new-old-bugs-in-linux-kernel.html 


棉花云運(yùn)營(yíng)部



/template/Home/Cloud/PC/Static

立即注冊(cè)棉花云賬號(hào),開(kāi)啟您的輕松上云之旅

立即注冊(cè)