【安全公告:UTSA-2022-000378】-【CVE-2022-2639】

公告编号:作者:USRC发布日期:2022/09/06

Linux内核openvswitch提权漏洞(CVE-2022-2639)


一、漏洞描述

An integer coercion error was found in the openvswitch kernel module. Given a sufficiently large number of actions, while copying and reserving memory for a new action of a new flow, the reserve_sfa_size() function does not return -EMSGSIZE as expected, potentially leading to an out-of-bounds write access. This flaw allows a local user to crash or potentially escalate their privileges on the system.

 

二、漏洞信息

漏洞编号:CVE-2022-2639

软件包名:kernel

漏洞评级:高危

CVSS3.1评分:8.0

 

三、受影响UOS版本

桌面专业版1040、桌面专业版1041、桌面专业版1042、桌面专业版1043、桌面专业版1050

 

四、漏洞检测

检测方法如下:

                通过uname -a查看内核版本信息

结果如下:

                - 未修复:内核版本AMD<5208、ARM<5214、MIPS<5216、LOONGARCH<5214

                - 已修复:内核版本AMD>=5208、ARM>=5214、MIPS>=5216、LOONGARCH>=5214 

五、修复建议

更新系统

                通过控制中心-更新-检查更新-安装更新进行升级-重启

 

六、修复状态

此漏洞补丁已于20220906日推送至外网仓库源

 

七、修复验证

查看内核版本,内核版本AMD>=5208、 ARM>=5214、MIPS>=5216、LOONGARCH>=5214 说明此漏洞已修复

 

八、相关链接

https://security-tracker.debian.org/tracker/CVE-2022-2639

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2639

https://nvd.nist.gov/vuln/detail/CVE-2022-2639