低危 Linux内核x86 / fpu (Floating Point Unit) subsystem信息泄露漏洞

CVE编号

CVE-2017-15537

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-10-18
漏洞描述
Linux kernel before 4.13.5中的x86 / fpu (Floating Point Unit)子系统,当processor支持xsave功能但不支持xsaves功能时,不能正确地处理通过ptrace()或RT_Sigback()system call在xstate header中设置reserved bits的尝试,从而允许本地用户读取系统上其他进程的FPU寄存器,这些寄存器与arch/x86/kernel/fpu/regset.c and arch/x86/kernel/fpu/signal.c有关。

解决建议
厂商补丁:
Linux
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=814fb7bb7db5433757d76f4c4502c96fc53b0b5e
参考链接
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=814...
http://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.13.5
https://github.com/torvalds/linux/commit/814fb7bb7db5433757d76f4c4502c96fc53b0b5e
https://source.android.com/security/bulletin/pixel/2018-01-01
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 linux linux_kernel * Up to
(including)
4.13.4
运行在以下环境
系统 suse_12 kernel-default-extra * Up to
(excluding)
4.12.14-94.41
运行在以下环境
系统 ubuntu_14.04.6_lts linux-aws * Up to
(excluding)
4.4.0-1002.2
运行在以下环境
系统 ubuntu_16.04.7_lts linux * Up to
(excluding)
4.4.0-98.121
运行在以下环境
系统 ubuntu_18.04.5_lts linux * Up to
(excluding)
4.13.0-17.20
阿里云评分
2.6
  • 攻击路径
    本地
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    100
CWE-ID 漏洞类型
CWE-200 信息暴露
阿里云安全产品覆盖情况