Ubuntu 發現內核回歸系統崩潰漏洞,需儘快升級

2020-12-16 IT之家

Ubuntu 是一個以桌面應用為主的 Linux 作業系統。它是一個開放原始碼的自由軟體,提供了一個健壯、功能豐富的計算環境,既適合家庭使用又適用於商業環境。Ubuntu 為全球數百個公司提供商業支持。

12 月 13 日,Ubuntu 發布了安全更新 , 修復了系統內核因引入回歸導致數據損壞 , 系統崩潰的重要漏洞。以下是漏洞詳情:

漏洞詳情

來源:https://ubuntu.com/security/notices/USN-4658-2

USN-4658-2: 內核回歸 嚴重程度:高

在先前 USN-4658-1(https://ubuntu.com/security/notices/USN-4658-1), 官方修復了 Linux 內核中的漏洞,不幸的是,與 fstrim(Linux 系統命令 , 可用於回收一個已掛載的文件系統上所有未使用的塊)一起使用時 , 該更新在 raid10 驅動程序中引入了回歸 , 可能導致數據損壞 , 系統崩潰。

受影響產品和版本

此漏洞影響 Ubuntu 20.04 LTS 和 Ubuntu 18.04 LTS

解決方案

可以通過將系統更新為以下軟體包版本來解決此問題:

Ubuntu 20.04

linux-image-5.4.0-1025-raspi - 5.4.0-1025.28

linux-image-5.4.0-1030-kvm - 5.4.0-1030.31

linux-image-5.4.0-1032-aws - 5.4.0-1032.33

linux-image-5.4.0-1032-gcp - 5.4.0-1032.34

linux-image-5.4.0-1032-oracle - 5.4.0-1032.34

linux-image-5.4.0-1034-azure - 5.4.0-1034.35

linux-image-5.4.0-58-generic - 5.4.0-58.64

linux-image-5.4.0-58-generic-lpae - 5.4.0-58.64

linux-image-5.4.0-58-lowlatency - 5.4.0-58.64

linux-image-aws-5.4.0.1032.33

linux-image-azure-5.4.0.1034.32

linux-image-gcp-5.4.0.1032.41

linux-image-generic-5.4.0.58.61

linux-image-generic-lpae-5.4.0.58.61

linux-image-gke-5.4.0.1032.41

linux-image-kvm-5.4.0.1030.28

linux-image-lowlatency-5.4.0.58.61

linux-image-oem-5.4.0.58.61

linux-image-oem-osp1-5.4.0.58.61

linux-image-oracle-5.4.0.1032.29

linux-image-raspi-5.4.0.1025.60

linux-image-raspi2-5.4.0.1025.60

linux-image-virtual-5.4.0.58.61

Ubuntu 18.04

linux-image-5.4.0-1025-raspi - 5.4.0-1025.28〜18.04.1

linux-image-5.4.0-1032-aws - 5.4.0-1032.33〜18.04.1

linux-image-5.4.0-1032-gcp - 5.4.0-1032.34〜18.04.1

linux-image-5.4.0-1033-oracle - 5.4.0-1033.35

linux-image-5.4.0-1034-azure - 5.4.0-1034.35〜18.04.1

linux-image-5.4.0-58-generic - 5.4.0-58.64〜18.04.1

linux-image-5.4.0-58-generic-lpae - 5.4.0-58.64〜18.04.1

linux-image-5.4.0-58-lowlatency - 5.4.0-58.64〜18.04.1

linux-image-aws-5.4.0.1032.17

linux-image-azure-5.4.0.1034.16

linux-image-gcp-5.4.0.1032.20

linux-image-generic-hwe-18.04-5.4.0.58.64〜18.04.53

linux-image-generic-lpae-hwe-18.04-5.4.0.58.64〜18.04.53

linux-image-lowlatency-hwe-18.04-5.4.0.58.64〜18.04.53

linux-image-oem-5.4.0.58.64〜18.04.53

linux-image-oem-osp1-5.4.0.58.64〜18.04.53

linux-image-oracle-5.4.0.1033.16

linux-image-raspi-hwe-18.04-5.4.0.1025.29

linux-image-snapdragon-hwe-18.04-5.4.0.58.64〜18.04.53

linux-image-virtual-hwe-18.04-5.4.0.58.64〜18.04.53

查看更多漏洞信息 以及升級請訪問官網:

https://ubuntu.com/security/cve

相關焦點

  • Ubuntu 發現內核回歸系統崩潰漏洞 官方發布安全更新
    12 月 13 日,Ubuntu 發布了安全更新 , 修復了系統內核因引入回歸導致數據損壞 , 系統崩潰的重要漏洞。以下是漏洞詳情:  漏洞詳情  來源:https://ubuntu.com/security/notices/USN-4658-2  USN-4658-2: 內核回歸 嚴重程度:高  在先前 USN-4658-1(https://ubuntu.com/security/notices/USN-4658-1), 官方修復了 Linux 內核中的漏洞
  • Ubuntu 系統內核發現拒絕服務或執行任意代碼漏洞,需儘快升級
    本地攻擊者可利用此漏洞造成拒絕服務(系統崩潰)或可能執行任意代碼。2.CVE-2020-25645 CVSS 評分:7.5 高Linux 內核中的 GENEVE 隧道實現與 IPSec 結合時,在某些情況下沒有正確選擇 IP 路由。攻擊者可以利用此漏洞暴露敏感信息(未加密的網絡流量)。
  • 雲安全日報201130:Ubuntu圖形庫igraph發現拒絕服務漏洞,需要儘快...
    11月27日,Ubuntu圖形庫igraph發現拒絕服務重要漏洞,需要儘快升級。以下是漏洞詳情:漏洞詳情來源:https://ubuntu.com/security/notices/USN-4644-1CVE-2018-20349 CVSS評分: 6.5 中igraph(用於創建和處理圖形的庫
  • Ubuntu中升級Linux內核
    新內核4.2有哪些改進:  ●重寫英特爾的x86彙編代碼  ●支持新的ARM板和SoC  ●對F2FS的per-file加密  ●AMD GPU內核DRM驅動程序  ●對Radeon DRM驅動的VCE1視頻編碼支持  ●初步支持英特爾Broxton Atom SoC
  • 死磕Meltdown和Spectre漏洞,應對方案匯總
    這次的漏洞分別起名Meltdown(崩潰)和Spectre(幽靈)。這兩個漏洞允許黑客竊取計算機的全部內存內容,包括行動裝置、個人計算機、以及在所謂的雲計算機網絡中運行的伺服器。微軟近期在博客中稱,只會向那些殺毒軟體提供商已向其證實安全補丁不會導致客戶電腦崩潰的Windows用戶提供補丁更新,因此,Windows自動更新機制不會推送該補丁,如果用戶需要應用相關補丁的話需做好充分的測試及回退措施。Spectre沒有簡單的解決方案,可能要重新設計處理器;Meltdown解決這個問題所需要的軟體補丁可能會使計算機運行速度下降30%。
  • 雲安全日報210106:紅帽RHEL系統內核發現拒絕服務和特權提升漏洞...
    1月5日,Red Hat發布了安全更新,修復了紅帽RHEL系統內核中發現的一些重要漏洞。以下是漏洞詳情:漏洞詳情來源:https://access.redhat.com/errata/RHSA-2021:00191.CVE-2018-20836 CVSS評分:7.0 嚴重程度:高在Linux內核的SAS擴展器子系統的實現中發現了一個漏洞,在該條件下,drivers / scsi / libsas / sas_expander.c
  • 電腦必備軟體Adobe Flash Player現漏洞 需儘快升級
    Adobe發布安全公告確定存新漏洞。中新網客戶端6月8日電 (程春雨)網民裝機必備的軟體Adobe FlashPlayer日前被騰訊安全發現存在Flash 0day漏洞(CVE-2018-5002),可被利用來引發大規模掛馬攻擊。
  • 安全預警 | Linux Libc Realpath 存在緩衝區下溢漏洞
    漏洞的產生是由於GNU C庫沒有正確處理getcwd()系統調用返回的相對路徑,並且沒有對緩衝區邊界進行檢查,其他庫也很可能受此影響。該漏洞為高風險漏洞,可直接用於Linux本地提權,目前已經有攻擊EXP公開,相關機器應儘快完成相應更新。
  • ...Realpath 存在緩衝區下溢漏洞 - OSCHINA - 中文開源技術交流社區
    漏洞的產生是由於GNU C庫沒有正確處理getcwd()系統調用返回的相對路徑,並且沒有對緩衝區邊界進行檢查,其他庫也很可能受此影響。該漏洞為高風險漏洞,可直接用於Linux本地提權,目前已經有攻擊EXP公開,相關機器應儘快完成相應更新。
  • linux系統工控機-ubuntu烏班圖嵌入式工業電腦
    計算機系統有很多種可以選擇,比如蘋果系統,微軟系統,烏班圖系統,谷歌的安卓系統以及目前華為公司出品的鴻蒙系統等。). linux最初是由芬蘭赫爾辛基大學學生Linus Torvalds在1991年處於個人愛好設計了linux系統的內核,在1994年正式採用GPL協議。
  • 揭秘丨「水滴」漏洞:一個讓安卓內核如紙片般脆弱的通殺漏洞
    無獨有偶,在Android的內核世界裡,潛伏著一枚具有同等殺傷力的「內核通殺」型漏洞,僅用一個漏洞便可以實現任意地址讀、任意地址寫、寫任意內容、信息洩露,甚至沙箱逃逸,幾乎堪稱攻破Android系統最完美的「殺器」。鑑於其驚人的破壞力,這枚漏洞的發現者——360 C0RE Team將它命名為「水滴」漏洞。
  • Ubuntu 18.04.2 LTS將於2月7日正式上線,附升級教程
    Ubuntu 18.04 LTS(Bionic Beaver)第2個維護版準備於2月7日上線,並且會發布鏡像以便於用戶在新電腦上更輕鬆地部署Linux系統。作為這款熱門Linux作業系統的最新長期支持分支,Ubuntu 18.04將會持續支持至少5年時間,在2023年4月之前都會獲得維護和安全更新。
  • Ubuntu桌面版USBCreator D-Bus權限提升漏洞分析
    /譯文僅供參考,具體內容表達以及含義原文為準USBCreator D-Bus接口中存在一個漏洞,如果具備sudoer組用戶的訪問權限,那麼攻擊者可以利用該漏洞繞過sudo程序強制的密碼安全策略。在Ubuntu系統中,總共有2類並發運行的消息總線:一類是系統(system)總線,主要由特權服務使用,用來對整個系統範圍提供相關服務;另一類是每個登錄用戶的會話(session)總線,只對外提供與該特定用戶相關的服務。由於我們的目標是提升權限,因此我們主要關注系統總線,因為相關服務會以較高權限(比如root)運行。
  • 基於 GDI 對象的 Windows 內核漏洞利⽤
    )破壞的整數溢出問題,並基於 Bitmap 和 Palette 這兩個 GDI對象來探究內核漏洞的利⽤過程。分⻚池(Paged Session Pool ):此類型是本⽂主要關注的,對於該類池上分配的對象,其對應的虛擬地址和物理地址並不存在⼀⼀映射關係,只需保證對象在當前執⾏會話中是有效的,⽽在其餘的內核操作時並不要求這些對象必須在內存中,如 GDI 對象和⼀些⽤戶對象等。
  • 使用Kdump檢查Linux內核崩潰
    kdump 可以與 kexec 應用程式一起使用 —— 例如,當第一個內核崩潰時第二個內核啟動,第二個內核用於複製第一個內核的內存轉儲,可以使用 gdb 和 crash 等工具分析崩潰的原因。(在本文中,我將使用術語「第一內核」作為當前運行的內核,「第二內核」 作為使用 kexec 運行的內核,「捕獲內核」 表示在當前內核崩潰時運行的內核。)
  • Linux 內核 TCP MSS 機制詳細分析
    作者:Hcamael@知道創宇404實驗室上周Linux內核修復了4個CVE漏洞[1],其中的CVE-2019-11477
  • 發現Intel晶片漏洞的神秘人曝光,各大巨頭紛紛回應
    這兩天,一則Intel晶片漏洞的新聞出現,讓全球的科技巨頭應接不暇。而發現Intel晶片漏洞的神秘人也浮出水面。據路透社北京時間1月5日報導,在黑掉自己的計算機,並發現存在於過去20年英特爾生產的大多數晶片中一處缺陷的那個晚上,丹尼爾·格魯斯(Daniel Gruss)幾乎徹夜未眠。
  • 內核升級百度手機瀏覽器總是「快」人一步
    內核升級,百度手機瀏覽器全面實現「多快好省」百度手機瀏覽器7.8版,基於T7內核的升級,在內容「多」的前提下,進一步實現了速度「快」、體驗「好」、安全「省心」。百度手機瀏覽器T7內核實現了從雙核到四核的突破。
  • PS4全新內核級漏洞被發現:存於7.02版本及以下系統
    日前,知名開發者theflow0公布了最新發現,在系統版本不高於v7.02的PS4上存在內核級漏洞。不過,目前存在的限制是,該內核漏洞的實現需要錨定此前的WebKit漏洞,WebKit漏洞只在v6.72以下系統版本中有效。
  • 360全球首家發現MacOS藍牙漏洞 可實現零點擊無接觸遠程利用
    圖說:技術人員測試 來源/採訪對象供圖新民晚報訊(記者 金志剛)近日,蘋果公司連續發布兩份重要安全通告,致謝360 Alpha Lab團隊全球首家發現5個MacOS藍牙漏洞。這是蘋果MacOS系統中極其罕見的漏洞組合,並經官方確認,該漏洞組合全部屬於「零點擊無接觸」遠程利用漏洞。考慮到其不容忽視的摧毀能力,360 Alpha Lab團隊將其命名為「Bluewave」漏洞。在完整定義「Bluewave」的威脅全貌前,他們首先注意到的是「Bluewave」所天然具備的「零點擊」這一致命屬性。