Ubuntu 16.04 LTS:Linux 核心 (HWE) 迴歸 (USN-3718-2)

medium Nessus Plugin ID 111267
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Ubuntu 主機缺少一個或多個安全性相關修補程式。

描述

USN-3695-2 已針對 Ubuntu 16.04 LTS 修正 Linux 硬體啟用核心 (HWE) 中的弱點。很抱歉,CVE-2018-1108 的修正引起了迴歸,早期的 entropy 不足,使服務無法啟動,進而導致在某些情況下無法開機。此更新可解決此問題。

由此給您帶來的不便,我們深表歉意。

Jann Horn 發現 Linux 核心的隨機種子資料實作報告它在收集到足夠的 entropy 之前處於就緒狀態。攻擊者可利用此弱點洩漏敏感資訊。(CVE-2018-1108)

Wen Xu 發現 Linux 核心中的 ext4 檔案系統實作未正確初始化 crc32c 總和檢查碼驅動程式。本機攻擊者可利用此弱點造成拒絕服務 (系統當機)。(CVE-2018-1094)

據發現,Linux 核心中的 cdrom 驅動程式包含錯誤的邊界檢查。本機攻擊者可利用此缺陷洩漏敏感資訊 (核心記憶體)。(CVE-2018-10940)

Wen Xu 發現 Linux 核心中的 ext4 檔案系統實作未正確驗證 xattr 大小。本機攻擊者可利用此弱點造成拒絕服務 (系統當機)。
(CVE-2018-1095)

Jann Horn 發現 64 位元 Linux 核心的 32 位元 adjtimex() syscall 實作在某些情況下未正確初始化傳回到使用者空間的記憶體。本機攻擊者可利用此缺陷洩漏敏感資訊 (核心記憶體)。(CVE-2018-11508)

據發現,Linux 核心中的 floppy 驅動程式存在一個資訊洩漏弱點。本機攻擊者可利用此弱點洩露敏感資訊 (核心記憶體)。(CVE-2018-7755)。

請注意,Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前述描述區塊。Tenable 已嘗試在不造成其他問題的前提下,盡可能完成自動清理並將其格式化。

解決方案

更新受影響的套件。

另請參閱

https://usn.ubuntu.com/3718-2/

Plugin 詳細資訊

嚴重性: Medium

ID: 111267

檔案名稱: ubuntu_USN-3718-2.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2018/7/24

已更新: 2020/9/17

相依性: ssh_get_info.nasl, linux_alt_patch_detect.nasl

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.1

時間分數: 5.6

媒介: AV:N/AC:M/Au:N/C:N/I:N/A:C

時間媒介: E:POC/RL:OF/RC:C

CVSS v3

風險因素: Medium

基本分數: 5.9

時間分數: 5.3

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-4.15-azure, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.15-gcp, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.15-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.15-generic-lpae, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.15-lowlatency, p-cpe:/a:canonical:ubuntu_linux:linux-image-azure, p-cpe:/a:canonical:ubuntu_linux:linux-image-gcp, p-cpe:/a:canonical:ubuntu_linux:linux-image-generic-hwe-16.04, p-cpe:/a:canonical:ubuntu_linux:linux-image-generic-lpae-hwe-16.04, p-cpe:/a:canonical:ubuntu_linux:linux-image-gke, p-cpe:/a:canonical:ubuntu_linux:linux-image-lowlatency-hwe-16.04, cpe:/o:canonical:ubuntu_linux:16.04

必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2018/7/21

弱點發布日期: 2018/3/8

參考資訊

CVE: CVE-2018-1094, CVE-2018-10940, CVE-2018-1095, CVE-2018-1108, CVE-2018-11508, CVE-2018-7755

USN: 3718-2