近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 缓冲区错误漏洞(CNNVD-202010-742、 CVE-2020-27194 ) 情况的报送。成功利用漏洞的攻击者可以利用此漏洞在本地系统造成内核信息泄露或特权提升。Linux-5.7 - Linux-5.8.14、Ubuntu 20.10均受此漏洞影响。目前,linux官方已发布补丁修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
Linux kernel 是美国Linux基金会发布的开源操作系统Linux所使用的内核。Linux kernel 5.8.15之前版本存在安全漏洞,该漏洞是由于eBPF验证程序中进行or操作时未正确计算寄存器范围,进而引发越界读取和写入,导致攻击者可以利用此漏洞造成内核信息泄露或特权提升。
二、危害影响
成功利用漏洞的攻击者可以利用此漏洞在本地系统造成内核信息泄露或特权提升。Linux-5.7 - Linux-5.8.14、Ubuntu 20.10均受此漏洞影响。
三、修复建议
目前,linux官方已在最新版本中修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.8.15
本通报由CNNVD技术支撑单位——北京奇虎科技有限公司、北京启明星辰信息安全技术有限公司等技术支撑单位提供支持。
CNNVD 将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
