Dringend: Ubuntu-Update! Es wurde eine Kernel-Schwachstelle entdeckt, die zu einem Denial-of-Service oder der Ausführung willkürlichen Codes führen könnte

Ubuntu ist ein Linux-Betriebssystem, das sich auf Desktop-Anwendungen konzentriert. Es handelt sich um kostenlose Open-Source-Software, die eine robuste, funktionsreiche Computerumgebung bietet, die sowohl für den Heimgebrauch als auch für Geschäftsumgebungen geeignet ist. Ubuntu bietet kommerziellen Support für Hunderte von Unternehmen auf der ganzen Welt.

Am 2. Dezember Ubuntu veröffentlichte ein Sicherheitsupdate, das wichtige Schwachstellen wie Denial-of-Service des Systemkernels und die Ausführung willkürlichen Codes behebt. Im Folgenden sind die Schwachstellendetails aufgeführt:

Details zur Sicherheitslücke

Quelle: https://ubuntu.com/security/notices/USN-4658-1

1.CVE-2020-0423 CVSS-Score: 7,8 Hoch

In der Binder-IPC-Implementierung im Linux-Kernel liegt eine Race-Bedingung vor, die zu einer Use-after-free-Schwachstelle führt. Ein lokaler Angreifer könnte diese Schwachstelle ausnutzen, um einen Denial-of-Service (Systemabsturz) auszulösen oder möglicherweise beliebigen Code auszuführen.

2.CVE-2020-25645 CVSS-Bewertung: 7,5 Hoch

Die GENEVE-Tunnel-Implementierung im Linux-Kernel wählte in Kombination mit IPSec in einigen Fällen IP-Routen nicht korrekt aus. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um vertrauliche Informationen (unverschlüsselten Netzwerkverkehr) preiszugeben.

3.CVE-2020-25643 CVSS-Score: 7,2 Hoch

Die hdlcppp-Implementierung im Linux-Kernel validiert Eingaben in einigen Fällen nicht korrekt. Ein lokaler Angreifer könnte diese Schwachstelle ausnutzen, um einen Denial-of-Service (Systemabsturz) auszulösen oder möglicherweise beliebigen Code auszuführen.

4.CVE-2020-25211 CVSS-Bewertung: 6,0 Mittel

Der Netfilter-Verbindungs-Tracker für Netlink im Linux-Kernel führt in einigen Fällen keine korrekte Grenzüberprüfung durch. Ein lokaler Angreifer könnte diese Schwachstelle ausnutzen, um einen Denial-of-Service (Systemabsturz) auszulösen

5.CVE-2020-14390 CVSS-Score: 5,6 Mittel

Es wurde festgestellt, dass die Framebuffer-Implementierung im Linux-Kernel einige Randfälle beim Software-Rollback nicht korrekt behandelt. Ein lokaler Angreifer könnte diese Schwachstelle ausnutzen, um einen Denial-of-Service (Systemabsturz) auszulösen oder möglicherweise beliebigen Code auszuführen

6.CVE-2020-28915 CVSS-Score: 5,5 Mittel

In einigen Fällen wurde in der Linux-Kernel-Implementierung festgestellt, dass Framebuffer-Prüfungen nicht korrekt durchgeführt wurden. Ein lokaler Angreifer könnte diese Schwachstelle ausnutzen, um vertrauliche Informationen (Kernelspeicher) preiszugeben.

7.CVE-2020-10135 CVSS-Bewertung: 5,4 Mittel

Legacy-Pairing- und Secure-Connection-Pairing-Authentifizierung im Bluetooth-Protokoll ermöglicht nicht authentifizierten Benutzern die Authentifizierung mit angrenzendem Zugriff ohne Pairing-Anmeldeinformationen. Ein Angreifer in unmittelbarer Nähe könnte dies ausnutzen, um sich als ein zuvor gekoppeltes Bluetooth-Gerät auszugeben.

8.CVE-2020-25284 CVSS-Bewertung: 4,1 Niedrig

Der Rados Block Device (RBD)-Treiber im Linux-Kernel führt in einigen Fällen keine ordnungsgemäßen Zugriffsprüfungen auf RBD-Geräten durch. Ein lokaler Angreifer kann diese Funktion verwenden, um das RBD-Blockgerät zuzuordnen oder die Zuordnung aufzuheben.

9.CVE-2020-4788 CVSS-Bewertung: 2,9 Niedrig

In einigen Fällen sind Power9-Prozessoren möglicherweise gezwungen, Informationen aus dem L1-Cache offenzulegen. Ein lokaler Angreifer könnte diese Schwachstelle ausnutzen, um vertrauliche Informationen preiszugeben

Betroffene Produkte und Versionen

Diese Sicherheitslücke betrifft Ubuntu 20.04 LTS und Ubuntu 18.04 LTS

Lösung

Dieses Problem kann gelöst werden, indem das System auf die folgende Paketversion aktualisiert wird:

Ubuntu 20.04:

linux-image-5.4.0-1028-kvm - 5.4.0-1028.29

linux-image-5.4.0-1030-aws - 5.4.0-1030.31

linux-image-5.4.0-1030-gcp-5.4.0-1030.32

linux-image-5.4.0-1030-oracle - 5.4.0-1030.32

linux-image-5.4.0-1032-azure – 5.4.0-1032.33

linux-image-5.4.0-56-generic - 5.4.0-56.62

linux-image-5.4.0-56-generic-lpae-5.4.0-56.62

linux-image-5.4.0-56-lowlatency - 5.4.0-56.62

linux-image-aws-5.4.0.1030.31

linux-image-azure-5.4.0.1032.30

linux-image-gcp-5.4.0.1030.38

linux-image-generic-5.4.0.56.59

linux-image-generic-hwe-20.04-5.4.0.56.59

linux-image-generic-lpae-5.4.0.56.59

linux-image-generic-lpae-hwe-20.04-5.4.0.56.59

linux-image-gke-5.4.0.1030.38

linux-image-kvm-5.4.0.1028.26

linux-image-lowlatency-5.4.0.56.59

linux-image-lowlatency-hwe-20.04-5.4.0.56.59

linux-image-oem-5.4.0.56.59

linux-image-oem-osp1-5.4.0.56.59

linux-image-oracle-5.4.0.1030.27

linux-image-virtual-5.4.0.56.59

linux-image-virtual-hwe-20.04-5.4.0.56.59

Ubuntu 18.04:

linux-image-5.4.0-1030-aws - 5.4.0-1030.31~18.04.1

linux-image-5.4.0-1030-gcp - 5.4.0-1030.32~18.04.1

linux-image-5.4.0-1030-oracle - 5.4.0-1030.32~18.04.1

linux-image-5.4.0-1032-azure – 5.4.0-1032.33~18.04.1

linux-image-5.4.0-56-generic - 5.4.0-56.62~18.04.1

linux-image-5.4.0-56-generic-lpae - 5.4.0-56.62~18.04.1

linux-image-5.4.0-56-lowlatency - 5.4.0-56.62~18.04.1

linux-image-aws-5.4.0.1030.15

linux-image-azure-5.4.0.1032.14

linux-image-gcp-5.4.0.1030.18

linux-image-generic-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-generic-lpae-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-lowlatency-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-oem-osp1-5.4.0.56.62~18.04.50

linux-image-oracle-5.4.0.1030.14

linux-image-snapdragon-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-virtual-hwe-18.04-5.4.0.56.62~18.04.50

Weitere Informationen zu Sicherheitslücken und Upgrades finden Sie auf der offiziellen Website:

https://www.php.cn/link/9c0badf6e91e4834393525f7dca1291d

Das obige ist der detaillierte Inhalt vonDringend: Ubuntu-Update! Es wurde eine Kernel-Schwachstelle entdeckt, die zu einem Denial-of-Service oder der Ausführung willkürlichen Codes führen könnte. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!