当前位置:首页>主机推荐>阿里云服务器安全漏洞公告 | Linux内核漏洞(CVE-2020-14386)

阿里云服务器安全漏洞公告 | Linux内核漏洞(CVE-2020-14386)

9月4日,Linux社区公布了编号为CVE-2020-14386的内核漏洞。该漏洞源自Linux内核net/packet/af_packet.c,攻击者可以通过该漏洞实现越界写,可能造成提权和容器逃逸等风险。

漏洞信息

  • 漏洞编号:CVE-2020-14386
  • 漏洞评级:高
  • 影响版本:
    • 内核版本高于4.6的不同操作系统的Linux发行版均在此次漏洞的影响范围内。
    • ECS受影响的镜像版本包括:
      • Alibaba Cloud Linux 2.1903(原Aliyun Linux 2.1903)
      • CentOS 8
      • Red Hat Enterprise Linux 8
      • Debian 9/10
      • OpenSUSE 15
      • SUSE Linux Enterprise Server 12/15
      • Ubuntu 18.04/20.04

详细描述

CVE-2020-14386是内核模块中存在的内存溢出漏洞。在高版本Linux系统(内核版本高于4.6)上,非特权用户以及K8s或Docker容器中的用户存在触发该漏洞的可能。该漏洞能够允许攻击者实现越界写,可能实现提权或容器逃逸。

安全建议

及时更新官方补丁。

解决方法

  • Alibaba Cloud Linux 2.1903(Aliyun Linux 2.1903)修复和升级方式:
    1. 使用以下任一方式升级内核版本。
      • 运行以下命令升级内核至修复版本。
        yum -y install kernel-4.19.91-21.2.al7
      • 运行以下命令升级至最新内核版本。
        yum -y update kernel
    2. 运行以下命令重启系统。
      reboot
    说明 关于Alibaba Cloud Linux 2.1903安全漏洞的修复信息,请参见Alibaba Cloud Linux 2 CVE更新记录。
  • 公共镜像升级方式请参见SUSE Linux Enterprise Server、Ubuntu、Debian。
主机推荐

阿里云ECS云服务器动态与公告新功能发布记

2020-9-28 3:14:32

主机推荐

阿里云服务器安全漏洞公告 | 虚拟化逃逸0day漏洞

2020-9-28 3:19:35

{{yiyan[0].hitokoto}}
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索