【安全通告】Linux 本地权限提升漏洞风险通告(CVE-2021-33909,CVE-2021-33910)
- 更新时间:2021-09-22 18:47 阅读次数:96
- 扫一扫,手机访问
漏洞详情
CVE-2021-33909(高危):
在Linux内核文件系统层的seq_file中发现了越界写入缺陷。该漏洞允许具有用户权限的本地攻击者访问越界内存。可造成本地提权,系统崩溃或内核信息泄漏等危害。
CVE-2021-33910(中危):
该漏洞存在于Linux systemd中,由于在函数 unit_name_path_escape 中使用大小不受控制的 alloca 函数。从而允许本地攻击者能够在很长的路径上挂载文件系统,通过在堆栈中分配过大的空间来使systemd和整个系统崩溃,最终造成拒绝服务攻击。
风险等级
高
漏洞风险
攻击者可利用该漏洞造成提升权限,拒绝服务等危害,漏洞利用细节已公开
影响版本
CVE-2021-33909:
Linux kernel < 5.13.4
CVE-2021-33910:
systemd 220 - 248
安全版本
Linux kernel >= 5.13.4
systemd > 248
修复建议
目前Linux内核及相关组件最新版本已修复该漏洞,请检查所使用的Linux内核及组件版本,并酌情及时升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,测试并评估业务运行状况,避免出现意外
