【漏洞公告】Linux 内核iSCSI 模块漏洞(CVE-2021-27363、CVE-2021-27364、CVE-2021-27365)

公告编号:作者:USRC发布日期:2021/03/26

【漏洞公告】Linux 内核iSCSI 模块漏洞(CVE-2021-27363、CVE-2021-27364、CVE-2021-27365)

 

一、漏洞描述

通常情况下,基于 Linux 的发行版本要比 Windows 更加安全,但这并不是说就没有漏洞了。近日,网络安全公司 GRIMM 的安全研究人员在 Linux 内核中发现了不少于 3 个漏洞,可以利用这些漏洞可以获得系统的 root 权限。更重要的是,这些漏洞已经存在长达 15 年之久


二、漏洞信息

漏洞编号:CVE-2021-27363、CVE-2021-27364、CVE-2021-27365

软件包名:sudo

漏洞评级:高危

CVSS3.1评分:7.1(CVE-2021-27363)、3.3(CVE-2021-27364)、7.0(CVE-2021-27365)

受影响版本

-  桌面专业版:4.19.0-desktop#3014及之前

-  服务器版:4.19.0-server#3007及之前


三、受影响UOS版本

UOS桌面专业版受此漏洞影响,UOS桌面专业版(1030)使用的内核为4.19.0-desktop#3014受影响。

UOS服务器版受此漏洞影响,UOS服务器版(1030)使用内核版本为4.19.0-server#3007,受影响。 


四、漏洞检测

           检测方法如下:

             - 使用uname -a查看系统内核版本

            结果如下:

             - 输出的版本号为4.19.0-desktop#3014或4.19.0-server#3007,受影响


五、修复建议

           更新UOS操作系统

专业版通过控制中心-更新-检查更新-安装更新进行升级

服务器企业版,可以通过终端安装更新sudo apt update && apt dist-upgrade 


六、修复状态

2021-03-15 响应漏洞,自查uos内核版本,确认UOS受漏洞影响,并发布公告。

2021-03-26发布安全版本更新。

     - X86修复版本为4.19.0-desktop#3108、4.19.0-server#3107

     - ARM修复版本为4.19.0-desktop#3108、4.19.0-server#3107

     - MIPS非性能提升机型修复版本为4.19.0-desktop#3052、4.19.0-server#3025

     - MIPS性能提升机型修复版本为4.19.0-desktop#3054、4.19.0-server#3027


修复验证

通过uname -a查看内核版本,版本为2021-03-26日发布的更新版本及之后的版本


八、相关链接

https://security-tracker.debian.org/tracker/CVE-2021-27363

https://security-tracker.debian.org/tracker/CVE-2021-27364

https://security-tracker.debian.org/tracker/CVE-2021-27365

http://hackernews.cc/archives/35033