緊急: Ubuntu アップデート!サービス拒否や任意のコード実行につながる可能性のあるカーネルの脆弱性が発見されました

Ubuntu は、主にデスクトップ アプリケーションに基づいた Linux オペレーティング システムです。これは、家庭用とビジネス環境の両方に適した堅牢で機能豊富なコンピューティング環境を提供するオープンソースの無料ソフトウェアです。 Ubuntu は、世界中の何百もの企業に商用サポートを提供しています。

12 月 2 日、Ubuntu は、システム カーネルのサービス拒否や任意のコード実行などの重要な脆弱性を修正するセキュリティ アップデートをリリースしました。 脆弱性の詳細は次のとおりです:

脆弱性の詳細

出典: https://ubuntu.com/security/notices/USN-4658-1

1.CVE-2020-0423 CVSS スコア: 7.8 高

Linux カーネルのバインダー IPC 実装に競合状態が存在し、解放後の使用の脆弱性を引き起こします。ローカルの攻撃者がこの脆弱性を悪用して、サービス妨害 (システムクラッシュ) を引き起こしたり、任意のコードを実行したりする可能性があります。

2.CVE-2020-25645 CVSS 評価: 7.5 高

Linux カーネルの GENEVE トンネル実装を IPSec と組み合わせると、場合によっては IP ルートが正しく選択されませんでした。攻撃者はこの脆弱性を悪用して機密情報 (暗号化されていないネットワーク トラフィック) を漏洩する可能性があります。

3.CVE-2020-25643 CVSS 評価: 7.2 高

Linux カーネルの hdlcppp 実装は、場合によっては入力を正しく検証しません。ローカルの攻撃者がこの脆弱性を悪用して、サービス妨害 (システムクラッシュ) を引き起こしたり、任意のコードを実行したりする可能性があります。

4.CVE-2020-25211 CVSS 評価: 6.0 中

Linux カーネルの netlink の netfilter 接続トラッカーは、場合によっては境界チェックを正しく実行しません。ローカルの攻撃者がこの脆弱性を悪用してサービス妨害 (システムクラッシュ) を引き起こす可能性があります。

5.CVE-2020-14390 CVSS 評価: 5.6 中

Linux カーネルのフレームバッファ実装が、ソフトウェア ロールバックの一部のエッジ ケースを正しく処理していないことが判明しました。ローカルの攻撃者がこの脆弱性を悪用して、サービス妨害 (システムクラッシュ) を引き起こしたり、任意のコードを実行したりする可能性があります。

6.CVE-2020-28915 CVSS 評価: 5.5 中

場合によっては、Linux カーネル実装でフレームバッファ チェックが正しく実行されていないことが判明しました。ローカルの攻撃者がこの脆弱性を悪用して機密情報 (カーネル メモリ) を漏洩する可能性があります。

7.CVE-2020-10135 CVSS 評価: 5.4 中

従来のペアリングと安全な接続 Bluetooth プロトコルのペアリング認証により、認証されていないユーザーは、ペアリング資格情報を使用せずに隣接アクセスで認証を完了できます。物理的に近い攻撃者がこれを悪用して、以前にペアリングした Bluetooth デバイスになりすます可能性があります。

8.CVE-2020-25284 CVSS 評価: 4.1 低

Linux カーネルの Rados ブロック デバイス (rbd) ドライバーは、場合によっては rbd デバイスのアクセス チェックを適切に実行しません。ローカルの攻撃者は、この機能を使用して、rbd ブロック デバイスをマップまたはマップ解除することができます。

9.CVE-2020-4788 CVSS 評価: 2.9 低

特定の状況下では、Power9 プロセッサーは L1 キャッシュからの情報を強制的に公開することがあります。ローカルの攻撃者がこの脆弱性を悪用して機密情報を漏洩する可能性があります

影響を受ける製品とバージョン この脆弱性は、Ubuntu 20.04 LTS および Ubuntu 18.04 LTS に影響します

＃＃＃＃＃＃解決＃＃＃＃＃＃

この問題は、システムを次のパッケージ バージョンに更新することで解決できます:

Ubuntu 20.04: linux-image-5.4.0-1028-kvm - 5.4.0-1028.29

linux-image-5.4.0-1030-aws - 5.4.0-1030.31

linux-image-5.4.0-1030-gcp - 5.4.0-1030.32

linux-image-5.4.0-1030-oracle - 5.4.0-1030.32

linux-image-5.4.0-1032-azure - 5.4.0-1032.33

linux-image-5.4.0-56-generic - 5.4.0-56.62

linux-image-5.4.0-56-generic-lpae - 5.4.0-56.62

linux-image-5.4.0-56-lowlatency - 5.4.0-56.62

linux-image-aws-5.4.0.1030.31

linux-image-azure-5.4.0.1032.30

linux-image-gcp-5.4.0.1030.38

linux-image-generic-5.4.0.56.59

linux-image-generic-hwe-20.04-5.4.0.56.59

linux-image-generic-lpae-5.4.0.56.59

linux-image-generic-lpae-hwe-20.04-5.4.0.56.59

linux-image-gke-5.4.0.1030.38

linux-image-kvm-5.4.0.1028.26

linux-image-lowlatency-5.4.0.56.59

linux-image-lowlatency-hwe-20.04-5.4.0.56.59

linux-image-oem-5.4.0.56.59

linux-image-oem-osp1-5.4.0.56.59

linux-image-oracle-5.4.0.1030.27

linux-image-virtual-5.4.0.56.59

linux-image-virtual-hwe-20.04-5.4.0.56.59

Ubuntu 18.04:

linux-image-5.4.0-1030-aws - 5.4.0-1030.31~18.04.1

linux-image-5.4.0-1030-gcp - 5.4.0-1030.32~18.04.1

linux-image-5.4.0-1030-oracle - 5.4.0-1030.32~18.04.1

linux-image-5.4.0-1032-azure - 5.4.0-1032.33~18.04.1

linux-image-5.4.0-56-generic - 5.4.0-56.62~18.04.1

linux-image-5.4.0-56-generic-lpae - 5.4.0-56.62~18.04.1

linux-image-5.4.0-56-lowlatency - 5.4.0-56.62~18.04.1

linux-image-aws-5.4.0.1030.15

linux-image-azure-5.4.0.1032.14

linux-image-gcp-5.4.0.1030.18

linux-image-generic-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-generic-lpae-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-lowlatency-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-oem-osp1-5.4.0.56.62~18.04.50

linux-image-oracle-5.4.0.1030.14

linux-image-snapdragon-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-virtual-hwe-18.04-5.4.0.56.62~18.04.50

脆弱性情報とアップグレードの詳細については、公式 Web サイトをご覧ください:

https://www.php.cn/link/9c0badf6e91e4834393525f7dca1291d

以上が緊急: Ubuntu アップデート!サービス拒否や任意のコード実行につながる可能性のあるカーネルの脆弱性が発見されましたの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。