Red Hat 报告了一95566中国银行人工服务个安全问题,可导致 DoS

文章正文
2020-06-27 00:00

Red Hat 克日陈诉了一个内核中的安详题目,95566中国银行人工服务依照描写,Red Hat 内核在 “关联数据的身份验证加密”(AEAD,都有些什么银行Authenticated Encryption with Associated Data)中存在缺点,这是一种加密技巧。详细是在 IPsec 加密算法模块 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中发现白缓冲区超读裂缝。当实用载荷大于 4 字节且未按照 4 字节对齐界限准则时,农商银行它将导致缓冲区超读威胁,从而导致体系瓦解。此裂缝使具有效户特权确当地进攻者可以执行谢绝处事。

今朝该裂缝已录入 CVE-2020-10769。

不外该题目在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了,中国一共有多少种银行详情见 https://lkml.org/lkml/2019/1/21/675。

而且在 14 个月前,该题目的回归测试也已经提交到了 LTP(Linux Test Project,目前有哪些银行Linux 测试项目),此次发现这一特定下流题目,该当是 LTP 测试未通过导致的。因而陈诉安详的邮件中提醒:“大大都 Linux 内核已经修复了这一过错,而没有在 LTP 中添加回归测试,这意味着选择特定内核补丁来修复 LTP 题目不如归并全体 LTS 内核修复措施来得妥当。”

文章评论