首页 -> 安全研究

安全研究

安全漏洞
Linux Kernel fuse_direct_io()函数无效指针引用本地拒绝服务漏洞

发布日期:2009-11-19
更新日期:2009-11-20

受影响系统:
Linux kernel 2.6.x
不受影响系统:
Linux kernel 2.6.32-rc7
描述:
BUGTRAQ  ID: 37069
CVE ID: CVE-2009-4021

Linux Kernel是开放源码操作系统Linux所使用的内核。


Linux的fuse_direct_io()函数中存在一个每次迭代都会分配请求的循环。如果分配失败,循环就会破坏,对无效指针执行无条件的fuse_put_request()。当系统内存不足且从fuse_get_req()失败调用了fuse_request_alloc()函数时就会触发这种情况。之后fuse_put_request()函数会引用所返回的无效指针,导致内核崩溃。

<*来源:Anand V. Avati (avati@gluster.com
  
  链接:https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=538734
        https://www.redhat.com/support/errata/RHSA-2010-0046.html
        https://www.redhat.com/support/errata/RHSA-2010-0041.html
*>

建议:
厂商补丁:

Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=f60311d5f7670d9539b424e4ed8b5c0872fc9e83

RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0046-01)以及相应补丁:
RHSA-2010:0046-01:Important: kernel security and bug fix update
链接:https://www.redhat.com/support/errata/RHSA-2010-0046.html

浏览次数:2387
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客