漏洞信息详情
Linux Kernel nfs4_proc_lock()本地拒绝服务漏洞
- CNNVD编号:CNNVD-200911-070
- 危害等级: 中危
- CVE编号: CVE-2009-3726
- 漏洞类型: 资源管理错误
- 发布时间: 2009-11-09
- 威胁类型: 远程
- 更新时间: 2009-11-09
- 厂 商: linux
- 漏洞来源: Grigoriy A. Sitkare
漏洞简介
Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。NFSv4 implementation是其中的一个分布式文件系统协议。 Linux kernel 2.6.31-rc4之前的版本的NFSv4客户端存在本地拒绝服务漏洞。由于NFSv4客户端的fs/nfs/nfs4proc.c文件中的nfs4_proc_lock函数没有适当处理NFS服务器的响应消息,攻击者可以通过NFS服务器发送一个包含有错误文件属性的响应(该响应能触发临时使用缺乏NFSv4状态的打开文件),导致拒绝服务攻击(空指针解引用和空指针滥用)。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://git.kernel.org/linus/d953126a28f97ec965d23c69fd5795854c048f30
参考网址
来源: git.kernel.org
链接:http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=d953126a28f97ec965d23c69fd5795854c048f30
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=529227
来源: MLIST
名称: [linux-nfs] 20081022 kernel oops in nfs4_proc_lock
链接:http://www.spinics.net/linux/lists/linux-nfs/msg03357.HTML
来源: BID
名称: 36936
链接:http://www.securityfocus.com/bid/36936
来源: MLIST
名称: [oss-security] 20091105 Re: CVE request: kernel: NULL pointer dereference in nfs4_proc_lock()
链接:http://www.openwall.com/lists/oss-security/2009/11/05/4
来源: MLIST
名称: [oss-security] 20091105 CVE request: kernel: NULL pointer dereference in nfs4_proc_lock()
链接:http://www.openwall.com/lists/oss-security/2009/11/05/1
来源: www.kernel.org
链接:http://www.kernel.org/pub/linux/kernel/v2.6/testing/v2.6.31/ChangeLog-2.6.31-rc4
来源: SUSE
名称: SUSE-SA:2009:056
链接:http://lists.opensuse.org/opensuse-security-announce/2009-11/msg00007.HTML
受影响实体
- Linux Linux_kernel:2.4.30:Rc3
- Linux Linux_kernel:2.4.30:Rc2
- Linux Linux_kernel:2.6.31:Rc3
- Linux Linux_kernel:2.4.7
- Linux Linux_kernel:2.4.8
补丁
暂无
评论