Linux内核竞争前提缝隙(CVE-2019-11815)

颁布功夫 2019-05-14


OG东方厅·(中国大陆)


布景描述


钻研人员在5.0.8之前的Linux内核中发现竞争前提缝隙(CVE-2019-11815)。


凭据CVSS  3.0的影响指标,,CVE-2019-11815缝隙拥有高机密性,,齐全性和可用性,,这使得潜在攻击者能够接见所有资源,,批改任何文件。


正如Common Weakness Enumeration(CWE)中所详述的,,Use-After-Free缺点是由于在内存被开释后尝试引用内存,,导致软件崩溃,,可执行肆意代码。

影响领域


CVE ID  :    CVE-2019-11815   
CNNVD:    CNNVD-201905-195 
缝隙等级:   中危
影响领域:   Linux kernel 5.0.8之前的所有版本

缝隙详情


潜在的攻击者可利用Linux内核的net/rds/tcp.c中的rds_tcp_kill_sock TCP/IP来触发回绝服务(DoS),,或者在易受攻击的系统上执行肆意代码。


OG东方厅·(中国大陆)


修复建议


Linux内核开发人员在3月下旬颁布了针对CVE-2019-11815缝隙的补丁,,并修复了4月17日颁布的Linux内核5.0.8版本中的缝隙。


建议各Linux刊行版(Red Hat,,Ubuntu,,SUSE和Debian)必要升级至最新版Linux内核。


参考链接


http://www.securityfocus.com/bid/108283


https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.0.8


https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=cb66ddd156203daefb8d71158036b27b0e2caf63


https://github.com/torvalds/linux/commit/cb66ddd156203daefb8d71158036b27b0e2caf63