阿里云漏洞库

漏洞描述

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux kernel 存在资源管理错误漏洞，该漏洞源于在Linux内核memstick的drivers/memstick/host/rtsx_usb_ms.c中的rtsx_usb_ms_drv_remove中发现了一个use-after-free漏洞。在此漏洞中，具有用户权限的本地攻击者可能会影响系统机密性。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=42933c8aa14be1caa9eda41f65cde8a3a95d3e39

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=2044561
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id...
https://lists.debian.org/debian-lts-announce/2022/03/msg00011.html
https://lists.debian.org/debian-lts-announce/2022/03/msg00012.html
https://www.debian.org/security/2022/dsa-5095
https://www.debian.org/security/2022/dsa-5096

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alibaba_cloud_linux_3	kernel	*		Up to (excluding) 5.10.112-11.al8
	运行在以下环境
	系统	debian_10	linux	*		Up to (excluding) 4.19.232-1
	运行在以下环境
	系统	debian_11	linux	*		Up to (excluding) 5.10.103-1
	运行在以下环境
	系统	debian_12	linux	*		Up to (excluding) 5.16.10-1
	运行在以下环境
	系统	debian_9	linux	*		Up to (excluding) 4.9.303-1
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	kernel	*		Up to (excluding) 4.19.90-23.21.v2101.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.14.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	kernel	*		Up to (excluding) 4.19.90-23.21.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.14.v2101.ky10
	运行在以下环境
	系统	linux	linux_kernel	*		Up to (including) 5.13.19
	运行在以下环境
	系统	opensuse_Leap_15.3	kernel	*		Up to (excluding) 4.12.14-197.108.1
	运行在以下环境
	系统	opensuse_Leap_15.4	kernel	*		Up to (excluding) 4.12.14-197.108.1
	运行在以下环境
	系统	oracle_7	kernel	*		Up to (excluding) 4.14.35-2047.514.3.el7
	运行在以下环境
	系统	redhat	enterprise_linux	8.0	-
	运行在以下环境
	系统	suse_12_SP5	kernel	*		Up to (excluding) 4.12.14-16.91.1
	运行在以下环境
	系统	ubuntu_18.04	linux	*		Up to (excluding) 4.15.0-1093.102
	运行在以下环境
	系统	ubuntu_20.04	linux	*		Up to (excluding) 5.4.0-1004.6
	运行在以下环境
	系统	ubuntu_21.10	linux	*		Up to (excluding) 5.13.0-41.46

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-416	释放后使用

中危 Linux kernel 资源管理错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况