漏洞关键信息 概述 安全更新编号: DLA 2586-1 日期: March 8, 2021 软件包: linux 版本: 4.9.258-1 漏洞列表及影响 CVE-2019-19318, CVE-2019-19813, CVE-2019-19816 - 描述: Btrfs中的漏洞可能导致Use-after-free或Heap Buffer溢出,可能通过特制的文件系统镜像触发,导致服务拒绝或权限提升。 CVE-2020-27815 - 描述: JFS文件系统代码允许本地攻击者设置扩展属性,导致服务拒绝。 CVE-2020-27825 - 描述: ftrace ring buffer在内存重置时的Use-after-free漏洞,可能导致服务拒绝或信息泄露。 CVE-2020-28374 - 描述: LIU SCSI目标实现对XCOPY请求检查不足,导致服务拒绝或信息泄露。 CVE-2020-29568 - 描述: 前端通过更新被监视路径在后端触发OOM。 CVE-2020-29569 - 描述: Linux blkback中的Use-after-free漏洞,可能导致崩溃或服务拒绝。 CVE-2020-29660 - 描述: tty子系统中的锁定不一致,可能导致本地攻击者挂载导致Read-after-free攻击。 CVE-2020-29661 - 描述: tty子系统中的锁定问题导致Use-after-free,可能服务拒绝或权限提升。 CVE-2020-36158 - 描述: mwifiex WiFi驱动中的缓冲区溢出,可能导致服务拒绝或任意代码执行。 CVE-2021-3178 - 描述: NFSv3服务器信息泄露,允许NFS客户端访问未导出文件。 CVE-2021-3347 - 描述: PI futexes内核堆栈Use-after-free,可能导致服务拒绝或权限提升。 CVE-2021-26930 - 描述: Xen块后端驱动中处理grant映射错误的漏洞,导致服务拒绝或权限提升。 CVE-2021-27363 - 描述: iSCSI发起子系统未限制访问传输处理属性,导致信息泄露或权限提升。 CVE-2021-27364 - 描述: iSCSI发起子系统未限制访问netlink管理接口,导致服务拒绝或权限提升。 CVE-2021-27365 - 描述: iSCSI发起子系统未正确限制参数长度或pass through PDU,导致服务拒绝或权限提升。 更新建议 针对Debian 9 stretch,以上问题已在版本4.9.258-1中修复,建议升级Linux软件包以确保安全。 详细安全状态及更多Debian LTS安全建议,请访问相关提供的链接。