阿里云漏洞库

中危 Canonical Ubuntu 安全漏洞（CVE-2021-3939）

CVE编号

CVE-2021-3939

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-11-17

漏洞描述

Canonical Ubuntu是英国科能（Canonical）公司的一套以桌面应用为主的GNU/Linux操作系统。

Canonical Ubuntu 存在安全漏洞，该漏洞源于 Ubuntu 对accountsservice 的特定修改导致在user_change_language_authorized_cb 函数中指向静态存储的fallback_locale 变量被释放。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://ubuntu.com/security/notices/USN-5149-1

参考链接
http://packetstormsecurity.com/files/172848/Ubuntu-accountsservice-Double-Fre...
https://bugs.launchpad.net/ubuntu/+source/accountsservice/+bug/1950149
https://ubuntu.com/security/notices/USN-5149-1

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	canonical	accountsservice	*	From (including) 0.6.55-0ubuntu12\~20.04	Up to (excluding) 0.6.55-0ubuntu12\~20.05
	运行在以下环境
	应用	canonical	accountsservice	*	From (including) 0.6.55-0ubuntu13	Up to (excluding) 0.6.55-0ubuntu13.3
	运行在以下环境
	应用	canonical	accountsservice	*	From (including) 0.6.55-0ubuntu14	Up to (excluding) 0.6.55-0ubuntu14.1
	运行在以下环境
	系统	debian_10	accountsservice	*		Up to (excluding) 0.6.45-2
	运行在以下环境
	系统	debian_11	accountsservice	*		Up to (excluding) 0.6.55-3
	运行在以下环境
	系统	debian_12	accountsservice	*		Up to (excluding) 22.08.8-6
	运行在以下环境
	系统	ubuntu_20.04	accountsservice	*		Up to (excluding) 0.6.55-0ubuntu12~20.04.5
	运行在以下环境
	系统	ubuntu_21.04	accountsservice	*		Up to (excluding) 0.6.55-0ubuntu13.3
	运行在以下环境
	系统	ubuntu_21.10	accountsservice	*		Up to (excluding) 0.6.55-0ubuntu14.1
	运行在以下环境
	系统	ubuntu_22.04	accountsservice	*		Up to (excluding) 0.6.55-3ubuntu2

攻击路径

本地
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-763	对无效指针或索引的释放