腾讯安全团队提交1个Linux内存泄露漏洞(CVE-2020-25704),攻击者利用漏洞可致系统失去响应

2020-11-18 11:39:12
腾讯安全团队近日提交了1个Linux内核内存泄漏漏洞,漏洞可能造成系统资源泄漏,无法得到释放。攻击者利用漏洞可能使系统失去响应,漏洞风险等级为中,漏洞影响内核版本为4.7~5.9.6的Linux系统。

腾讯安全团队近日提交了1Linux内核内存泄漏漏洞,漏洞可能造成系统资源泄漏,无法得到释放。攻击者利用漏洞可能使系统失去响应,漏洞风险等级为中,漏洞影响内核版本为4.7~5.9.6Linux系统。目前该漏洞已经修复,漏洞细节也已按Linux社区规则予以公开披露,腾讯安全专家建议Linux用户升级至最新的Linux内核版本。 

漏洞描述:

Perf 是内置于 Linux 内核源码树中的性能剖析工具,基于事件采样的原理,以性能事件为基础,支持针对处理器相关性能指标与操作系统相关性能指标的性能剖析,可用于性能瓶颈的查找与热点代码的定位。Linux内核在实现Perf事件初始化设置时,存在一处内存泄漏漏洞,攻击者可以利用该漏洞瘫痪整个系统,基于Linux内核的UbuntuCentOSRedHatSUSEDebian等操作系统都受到该漏洞的影响。 

Linux是一种开源电脑操作系统内核。它是一个用C语言写成,符合POSIX标准的类Unix操作系统,一些组织或厂家,将Linux系统的内核与外围实用程序(Utilities)软件和文档包装起来,并提供一些系统安装界面和系统配置、设定与管理工具,就构成了一种Linux发行版本。 

漏洞编号:

CVE-2020-25704 

漏洞等级:中风险 

受影响的内核版本:

Linux内核4.7~5.9.6 

漏洞缓解措施:

目前Linux社区在最新的版本中已经修复了该漏洞,建议受影响的用户升级至最新版本。 

时间线:

2020/11/02 发现漏洞

2020/11/03 邮件报告给security@kernel.org linux-distros@vs.openwall.org

2020/11/09分配CVE-2020-25704

2020/11/09 漏洞细节公布在oss-security上:https://www.openwall.com/lists/oss-security/2020/11/09/1  

参考资料:

1)   perf: Introduce address range filtering [LWN.net] https://lwn.net/Articles/684666/

2)   perf-record(1) - Linux manual page https://man7.org/linux/man-pages/man1/perf-record.1.html

最新资讯