阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 6040阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】“Phoenix Talon” Linux内核漏洞

级别: 论坛版主
发帖
241
云币
478
近期,Linux内核曝出远程执行漏洞,并命名为“Phoenix Talon”,其中一个漏洞为严重(Critical)级别,另外三个为高危(High)。这四个漏洞的影响范围包括所有Linux kernel 2.5.69 ~ Linux kernel 4.11的内核版本。漏洞可导致远程DOS,在符合一定利用条件下可导致远程代码执行,包括传输层的TCP、DCCP、SCTP以及网络层的IPv4和IPv6协议均受影响。 ^R;rrn{^  
具体详情如下:                                  ?o883!&v  
                                                
漏洞编号: A.>L>uR  
CVE-2017-8890 's7 (^1hH  
CVE-2017-9075 P(Wr[lH\y  
CVE-2017-9076 8D5v'[j-  
CVE-2017-9077 Jo Ih2PD  
漏洞名称: 60Szn]z'8[  
“Phoenix Talon” Linux内核漏洞 Bq*aP*jv  
官方评级: Lq cHsUFj  
CVE-2017-8890:严重(Critical) V0/O T~gS8  
CVE-2017-9075:高危(High) Kjfpq!NYE  
CVE-2017-9076:高危(High) EN/e`S$)  
CVE-2017-9077:高危(High) SM1[)jZ-  
漏洞描述: dVe  
CVE-2017-8890 |a{~Imz{  
自4.10.15版本开始Linux内核net/ipv4/inet_connection_sock.c中的inet_csk_clone_lock函数能让攻击者发动DoS(double free)攻击,或者利用accept()系统调用造成其他影响。 YfZ96C[a  
该漏洞是四个漏洞中最严重的,本质上是double free的问题,使用setsockopt()函数中MCAST_JOIN_GROUP选项,并调用accept()函数即可触发该漏洞。 &* 1iW(x  
CVE-2017-9075 f.Feo  
4.11.1版本后的Linux内核中net/sctp/ipv6.c里的sctp_v6_create_accept_sk函数对继承处理不当,本地用户可以发动DoS攻击,或者通过特制的系统调用造成其他影响,这个漏洞与CVE-2017-8890相关。 l?J|Ip2W  
CVE-2017-9076 {ZR>`'^:  
Linux版本4.11.1后的系统net/dccp/ipv6.c文件中的dccp_v6_request_recv_sock函数对继承处理不当,本地用户可以发动DoS攻击,或者通过特制的系统调用造成其他影响,这个漏洞与CVE-2017-8890相关。 V+- ]txu|  
CVE-2017-9077 ,[{Z_co  
Linux版本4.11.1后的系统net/dccp/ipv6.c文件中的tcp_v6_syn_recv_sock函数对继承处理不当,本地用户可以发动DoS攻击,或者通过特制的系统调用造成其他影响,这个漏洞与CVE-2017-8890相关。 f'Cx %  
漏洞利用条件和方式: zilM+BZ8  
%K7wScz7  
R^ &nBwp  
漏洞影响范围: $Q'S8TU  
Linux kernel 2.5.69 ~ Linux kernel 4.11的内核版本 29~Bu5  
漏洞检测: rUOl+p_47  
N"Mw1R4  
漏洞修复建议(或缓解措施): M,(UCyT  
目前厂商已经发布了升级补丁以修复这些安全问题,强烈建议您使用 yum update kernel 或sudo apt-get update && sudo apt-get upgrade升级内核。 W1;u%>Uh  
情报来源: @?YO_</  
  • http://www.openwall.com/lists/oss-security/2017/05/30/24
8 bpYop7 L  
6&KvT2?tA`  
j$mCU?  
.sE5QRVc  
[ 此帖被正禾在2017-06-20 11:48重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)