9月4日,Linux社區公布了編號為CVE-2020-14386的核心漏洞。該漏洞源自Linux核心net/packet/af_packet.c,攻擊者可以通過該漏洞實現越界寫,可能造成提權和容器逃逸等風險。
漏洞資訊
漏洞編號:CVE-2020-14386
漏洞評級:高
影響版本:
核心版本高於4.6的不同作業系統的Linux發行版均在此次漏洞的影響範圍內。
ECS受影響的鏡像版本包括:
Alibaba Cloud Linux 2.1903(原Aliyun Linux 2.1903)
CentOS 8
Red Hat Enterprise Linux 8
Debian 9/10
OpenSUSE 15
SUSE Linux Enterprise Server 12/15
Ubuntu 18.04/20.04
詳細描述
CVE-2020-14386是核心模組中存在的記憶體溢出漏洞。在高版本Linux系統(核心版本高於4.6)上,非特權使用者以及K8s或Docker容器中的使用者存在觸發該漏洞的可能。該漏洞能夠允許攻擊者實現越界寫,可能導致提權或容器逃逸。
安全建議
及時更新官方補丁。
解決方案
Alibaba Cloud Linux 2.1903(Aliyun Linux 2.1903)修複和升級方式:
使用以下任一方式升級核心版本。
運行以下命令升級核心至修複版本。
yum -y install kernel-4.19.91-21.2.al7運行以下命令升級至最新核心版本。
yum -y update kernel
運行以下命令重啟系統。
reboot
說明關於Alibaba Cloud Linux 2.1903安全性漏洞的修複資訊,請參見Alibaba Cloud Linux 2 CVE更新記錄。
公用鏡像升級方式請參見SUSE Linux Enterprise Server、Ubuntu、Debian。
公告方
阿里雲計算有限公司