1. 首页>
  2. 资讯中心

【安全通告】Linux 本地权限提升漏洞风险通告(CVE-2021-33909,CVE-2021-33910)

腾讯云 2021年07月22日 浏览167

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

 

近日,腾讯云安全运营中心监测到,国外安全研究团队披露Linux多个安全漏洞POC,漏洞编号:CVE-2021-33909,CVE-2021-33910。普通用户可以通过利用此漏洞提升权限或者拒绝服务。

 

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

 

漏洞详情

CVE-2021-33909(高危):

在Linux内核文件系统层的seq_file中发现了越界写入缺陷。该漏洞允许具有用户权限的本地攻击者访问越界内存。可造成本地提权,系统崩溃或内核信息泄漏等危害。

 

CVE-2021-33910(中危):

该漏洞存在于Linux systemd中,由于在函数 unit_name_path_escape 中使用大小不受控制的 alloca 函数。从而允许本地攻击者能够在很长的路径上挂载文件系统,通过在堆栈中分配过大的空间来使systemd和整个系统崩溃,最终造成拒绝服务攻击。

 

风险等级

 

漏洞风险

攻击者可利用该漏洞造成提升权限,拒绝服务等危害,漏洞利用细节已公开

 

影响版本

CVE-2021-33909:

Linux kernel < 5.13.4


CVE-2021-33910:

systemd 220 - 248

 

安全版本

Linux kernel >= 5.13.4

systemd > 248

 

修复建议

目前Linux内核及相关组件最新版本已修复该漏洞,请检查所使用的Linux内核及组件版本,并酌情及时升级至安全版本。

 

【备注】:建议您在升级前做好数据备份工作,测试并评估业务运行状况,避免出现意外

 

漏洞参考

https://nvd.nist.gov/vuln/detail/CVE-2021-33909

https://nvd.nist.gov/vuln/detail/CVE-2021-33910

相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013