漏洞公告 | Linux內(nèi)核漏洞(CVE-2020-14386)
9月4日,Linux社區(qū)公布了編號為CVE-2020-14386的內(nèi)核漏洞。該漏洞源自Linux內(nèi)核net/packet/af_packet.c,攻擊者可以通過該漏洞實現(xiàn)越界寫,可能造成提權(quán)和容器逃逸等風(fēng)險。
漏洞信息
漏洞編號:CVE-2020-14386
漏洞評級:高
影響版本:
內(nèi)核版本高于4.6的不同操作系統(tǒng)的Linux發(fā)行版均在此次漏洞的影響范圍內(nèi)。
ECS受影響的鏡像版本包括:
Alibaba Cloud Linux 2.1903(原Aliyun Linux 2.1903)
CentOS 8
Red Hat Enterprise Linux 8
Debian 9/10
OpenSUSE 15
SUSE Linux Enterprise Server 12/15
Ubuntu 18.04/20.04
詳細描述
CVE-2020-14386是內(nèi)核模塊中存在的內(nèi)存溢出漏洞。在高版本Linux系統(tǒng)(內(nèi)核版本高于4.6)上,非特權(quán)用戶以及K8s或Docker容器中的用戶存在觸發(fā)該漏洞的可能。該漏洞能夠允許攻擊者實現(xiàn)越界寫,可能導(dǎo)致提權(quán)或容器逃逸。
安全建議
及時更新官方補丁。
解決方法
Alibaba Cloud Linux 2.1903(Aliyun Linux 2.1903)修復(fù)和升級方式:
使用以下任一方式升級內(nèi)核版本。
運行以下命令升級內(nèi)核至修復(fù)版本。
yum -y install kernel-4.19.91-21.2.al7運行以下命令升級至最新內(nèi)核版本。
yum -y update kernel
運行以下命令重啟系統(tǒng)。
reboot
說明關(guān)于Alibaba Cloud Linux 2.1903安全漏洞的修復(fù)信息,請參見Alibaba Cloud Linux 2 CVE更新記錄。
公共鏡像升級方式請參見SUSE Linux Enterprise Server、Ubuntu、Debian。
公告方
阿里云計算有限公司