漏洞情報 | Linux kernel BPF 內核信息泄露漏洞

0x01 漏洞描述

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核，是實現Linux系統應用層功能的底層架構，它連接了系統底層硬件和系統上層應用。

360漏洞云監測到Linux kernel存在信息泄露漏洞（CVE-2021-34556, CVE-2021-35477）。非特權的BPF程序可通過推測性存儲繞過側信道攻擊（Speculative Store Bypass side-channel attack）從內核內存中獲取敏感信息。

0x02 危害等級

中危：4.4

0x03 影響版本

Linux Kernel <=5.13.7

0x04 修復建議

廠商已發布補丁修復漏洞，用戶請盡快安裝更新：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/patch/?id=f5e81d1117501546b7be050c5fbafa6efd2c722c

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/patch/?id=2039f26f3aca5b0e419b98f65dd36481337b86ee