Red Hat 报告了一个安全问题,可导致 DoS
番茄系统家园 · 2022-03-23 03:39:25
Red Hat 近日报告了一个内核中的安全问题,根据描述,Red Hat内核在“关联数据的身份验证加密”(AEAD,AuthenticatedEncryption with AssociatedData)中存在缺陷,这是一种加密技术。具体是在 IPsec 加密算法模块 authenc 的crypto/authenc.c 中的crypto_authenc_extractkeys 中发现了缓冲区超读漏洞。当有效载荷大于 4 字节且未遵循4字节对齐边界准则时,它将导致缓冲区超读威胁,从而导致系统崩溃。此漏洞使具有用户特权的本地攻击者可以执行拒绝服务。
目前该漏洞已录入 CVE-2020-10769。
不过该问题在 17 个月前也就是 19 年 1 月的 Linux LTS内核上游中已经修复过了,详情见https://lkml.org/lkml/2019/1/21/675。
并且在 14 个月前,该问题的回归测试也已经提交到了 LTP(Linux Test Project,Linux测试项目),此次发现这一特定下游问题,应当是LTP 测试未通过导致的。因此报告安全的邮件中提醒:“大多数 Linux 内核已经修复了这一错误,而没有在LTP中添加回归测试,这意味着挑选特定内核补丁来修复 LTP 问题不如合并所有 LTS 内核修复程序来得稳妥。”
免责声明: 凡标注转载/编译字样内容并非本站原创,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如果你觉得本文好,欢迎推荐给朋友阅读;本文链接: https://m.nndssk.com/dngz/333789NepZQM.html。猜你喜欢
最新应用
热门应用
