Linux Kernel 权限提升漏洞安全风险通告

2022年3月29日，嘉诚安全监测到CVE官方发布了Linux Kernel权限提升漏洞的安全风险通告，漏洞编号为CVE-2022-27666。

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

Linux kernel 5.16.15之前版本存在安全漏洞，该漏洞源于在net/ipv4/esp4.c和 net/ipv6/esp6.c通过大消息进行ESP转换可以导致缓冲区溢出。本地攻击者可以通过覆盖内核堆对象利用该漏洞获得特权。

通用修复建议：

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.15