【漏洞预警】Linux内核竞争条件漏洞(CVE-2019-11815)

发布时间 2019-05-14




背景描述


研究人员在5.0.8之前的Linux内核中发现竞争条件漏洞(CVE-2019-11815)。


根据CVSS  3.0的影响指标,CVE-2019-11815漏洞具有高机密性,完整性和可用性,这使得潜在攻击者可以访问所有资源,修改任何文件。


正如Common Weakness Enumeration(CWE)中所详述的,Use-After-Free缺陷是由于在内存被释放后尝试引用内存,导致软件崩溃,可执行任意代码。

影响范围


CVE ID  :    CVE-2019-11815   
CNNVD:    CNNVD-201905-195 
漏洞等级:   中危
影响范围:   Linux kernel 5.0.8之前的所有版本

漏洞详情


潜在的攻击者可利用Linux内核的net/rds/tcp.c中的rds_tcp_kill_sock TCP/IP来触发拒绝服务(DoS),或者在易受攻击的系统上执行任意代码。



修复建议


Linux内核开发人员在3月下旬发布了针对CVE-2019-11815漏洞的补丁,并修复了4月17日发布的Linux内核5.0.8版本中的漏洞。


建议各Linux发行版(Red Hat,Ubuntu,SUSE和Debian)需要升级至最新版Linux内核。


参考链接


http://www.securityfocus.com/bid/108283


https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.0.8


https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=cb66ddd156203daefb8d71158036b27b0e2caf63


https://github.com/torvalds/linux/commit/cb66ddd156203daefb8d71158036b27b0e2caf63