漏洞情报 | Linux kernel BPF 内核信息泄露漏洞

0x01 漏洞描述

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核，是实现Linux系统应用层功能的底层架构，它连接了系统底层硬件和系统上层应用。

360漏洞云监测到Linux kernel存在信息泄露漏洞（CVE-2021-34556, CVE-2021-35477）。非特权的BPF程序可通过推测性存储绕过侧信道攻击（Speculative Store Bypass side-channel attack）从内核内存中获取敏感信息。

0x02 危害等级

中危：4.4

0x03 影响版本

Linux Kernel <=5.13.7

0x04 修复建议

厂商已发布补丁修复漏洞，用户请尽快安装更新：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/patch/?id=f5e81d1117501546b7be050c5fbafa6efd2c722c

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/patch/?id=2039f26f3aca5b0e419b98f65dd36481337b86ee