就要买买买 Hat 报告了一个可导致拒绝服务的安全问题,Red
具体是在IPsec加密算法模块authenc的crypto/authenc.c中的crypto_authenc_extractkeys中发现了缓冲区超读漏洞 。 当有效载荷大于4字节且未遵循4字节对齐边界准则时 , 它将导致缓冲区超读威胁 , 从而导致系统崩溃 。 此漏洞使具有用户特权的本地攻击者可以执行拒绝服务 。
文章图片
【就要买买买 Hat 报告了一个可导致拒绝服务的安全问题,Red】目前该漏洞已录入CVE-2020-10769 。
不过该问题在17个月前也就是19年1月的LinuxLTS内核上游中已经修复过了 , 详情见https://lkml.org/lkml/2019/1/21/675 。
并且在14个月前 , 该问题的回归测试也已经提交到了LTP(LinuxTestProject , Linux测试项目) , 此次发现这一特定下游问题 , 应当是LTP测试未通过导致的 。 因此报告安全的邮件中提醒:“大多数Linux内核已经修复了这一错误 , 而没有在LTP中添加回归测试 , 这意味着挑选特定内核补丁来修复LTP问题不如合并所有LTS内核修复程序来得稳妥 。 ”
推荐阅读
- 果中之|消食化痰的好物,正当季,再贵也要买它是七月最该吃的水果
- 就要买买买|Android版Firefox浏览器Preview版以解决混乱的版本号
- 百分点|恢复“买买买”!居民消费意愿有所回升
- 指数为|恢复“买买买”!居民消费意愿有所回升
- 试车极速报告|这钱花得值当,要买就买顶配!4款配置功能令豪车汗颜的国产SUV
- 原子之城|世界局势或要发生改变,美国要买俄罗斯武器?西方传出关键信号
- 王者荣耀|大仙坦白:S20砸锅卖铁也要买的中单,貂蝉加强不多说,唯独他王者才理解
- 吕布■砸锅卖铁也要买的18888战士,0铭文克制吕布玄策,天生比别人多一件黑切
- 「印度」目标果然不是巴铁,印度要买上千辆顶级坦克,拉拢俄罗斯不择手段
- 「甄姬」砸锅卖铁都要买的英雄,无视伽罗,练好上分万无一失