全部产品
Search
文档中心

【漏洞公告】“Phoenix Talon” Linux 内核漏洞

更新时间: 2020-08-19

近期,Linux内核曝出名为“Phoenix Talon”的一系列远程执行漏洞,其中一个漏洞为严重(Critical)级别,另外三个为高危(High)。

这四个漏洞的影响范围包括所有Linux kernel 2.5.69 ~ Linux kernel 4.11的内核版本。该漏洞可导致DOS攻击和远程代码执行,包括传输层的TCP、DCCP、SCTP以及网络层的IPv4和IPv6协议均受影响。

漏洞详情见下文。


漏洞编号

  • CVE-2017-8890
  • CVE-2017-9075
  • CVE-2017-9076
  • CVE-2017-9077

漏洞名称

“Phoenix Talon” Linux内核漏洞

官方评级

  • CVE-2017-8890:严重(Critical)
  • CVE-2017-9075:高危(High)
  • CVE-2017-9076:高危(High)
  • CVE-2017-9077:高危(High)

漏洞描述

  • CVE-2017-8890

    对于4.10.15版本后的Linux内核,net/ipv4/inet_connection_sock.c中的inet_csk_clone_lock函数能让攻击者发动DoS(double free)攻击,或者利用accept()系统调用造成其他影响。

    该漏洞是四个漏洞中最严重的,本质上是double free的问题,使用setsockopt()函数中MCAST_JOIN_GROUP选项,并调用accept()函数即可触发该漏洞。

  • CVE-2017-9075

    对于4.11.1版本后的Linux内核,net/sctp/ipv6.c中的sctp_v6_create_accept_sk函数对继承处理不当,本地用户可以发动DoS攻击,或者通过特制的系统调用造成其他影响,这个漏洞与CVE-2017-8890相关。

  • CVE-2017-9076

    对于4.11.1版本后的Linux系统,net/dccp/ipv6.c文件中的dccp_v6_request_recv_sock函数对继承处理不当,本地用户可以发动DoS攻击,或者通过特制的系统调用造成其他影响,这个漏洞与CVE-2017-8890相关。

  • CVE-2017-9077

    对于4.11.1版本后的Linux系统,net/dccp/ipv6.c文件中的tcp_v6_syn_recv_sock函数对继承处理不当,本地用户可以发动DoS攻击,或者通过特制的系统调用造成其他影响,这个漏洞与CVE-2017-8890相关。

漏洞利用条件和方式

CVE 利用方式
CVE-2017-8890 远程且需要主机可以接收组播报文才有可能被远程利用导致拒绝服务。组播功能的使用需要在交换机上开启组播模式,此模式在交换机上默认是关闭的。
CVE-2017-9075 本地
CVE-2017-0976 本地
CVE-2017-9077 本地

漏洞影响范围

Linux kernel 2.5.69 ~ Linux kernel 4.11的内核版本

漏洞检测

漏洞修复建议(或缓解措施)

目前厂商已经发布了升级补丁以修复这些安全问题,建议您使用 yum update kernelsudo apt-get update && sudo apt-get upgrade 升级内核。

注意:升级之前务必创建快照,并测试升级流程完整无问题后,再在业务生成环境升级。

情报来源