Red Hat 报告了一个安全问题，可导致 DoS

图片地址：https://img.ithome.com/newsuploadfiles/2020/6/20200625075142_9204.jpg

Red Hat 近日报告了一个内核中的安全问题，根据描述，Red Hat 内核在 “关联数据的身份验证加密”（AEAD，Authenticated Encryption with Associated Data）中存在缺陷，这是一种加密技术。具体是在 IPsec 加密算法模块 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中发现了缓冲区超读漏洞。当有效载荷大于 4 字节且未遵循 4 字节对齐边界准则时，它将导致缓冲区超读威胁，从而导致系统崩溃。此漏洞使具有用户特权的本地攻击者可以执行拒绝服务。目前该漏洞已录入 CVE-2020-10769。不过该问题在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了，详情见 https://lkml.org/lkml/2019/1/21/675。并且在 14 个月前，该问题的回归测试