Linux kernel ‘key_notify_policy_flush’函数信息泄露漏洞

漏洞名称：	Linux kernel ‘key_notify_policy_flush’函数信息泄露漏洞
CNNVD编号：	CNNVD-201307-072
发布时间：	2013-07-05
更新时间：	2013-07-05
危害等级：
漏洞类型：	信息泄露
威胁类型：	本地
CVE编号：	CVE-2013-2237

Linux Kernel是美国Linux基金会发布的一款开源操作系统Linux所使用的内核。
Linux kernel 3.9之前的版本中的net/key/af_key.c中的‘key_notify_policy_flush’函数中存在信息泄露漏洞，该漏洞源于程序没有初始化某些结构成员变量。本地攻击者可通过读取来自IPSec key_socket的notify_policy接口中的广播消息，利用该漏洞获得来自内核堆内存的敏感信息。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://bugzilla.redhat.com/show_bug.cgi?id=981220

来源: www.kernel.org
链接:https://www.kernel.org/pub/linux/kernel/v3.x/patch-3.9.bz2

来源: github.com
链接:https://github.com/torvalds/linux/commit/85dfb745ee40232876663ae206cba35f24ab2a40

来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=981220

秒客网

Linux kernel ‘key_notify_policy_flush’函数信息泄露漏洞

相关文章