• 和记官网登录

    安全漏洞

    安全漏洞补丁公告

    当前位置  >  首页  >  服务支持  >  安全漏洞  >  安全漏洞补丁公告

    公告ID(KSN-20201112-1

    摘要: AccountsService 漏洞 安全等级: 重要 公告ID: KSN-20201112-1 发布日期: 2020-11-18 影响CVE: CVE-2020-16126 、CVE-2020-16127 、CVE-2018-14036

    详细介绍

    1. 漏洞信息:

    •   Kevin Backhouse发现AccountsService服务能被普通用户在异常情况下中断。本地用户可能使用此问题导致AccountsService崩溃或挂起,导致拒绝服务。

    • GNOME显示管理器(gdm3)是Ubuntu用户界面的基本组件,它可以处理用户登录和注销时启动和停止用户会话之类的事情,还管理登录屏幕。gdm3通过accounts-daemon程序查询到用户数量,当accounts-daemon程序崩溃的时,gdm3在检查超时后会认为帐户数量为0,并启动gnome-initial-setup进行初始化从而达到成功提权。(CVE-2020-16126,CVE-2020-16127)。

    • Matthias Gerstner发现AccountsService处理不当某些路径检查。本地攻击者可能利用此问题来读取任意文件。(CVE-2018-14036)。

    • 目前经过和记官网登录安全团队分析,和记官网登录使用的桌面环境是UKUI,而非ubuntu使用的Gnome,因此现有的、公开的攻击方法无法在和记官网登录操作系统上成功提权,但是会导致PAM引发拒绝服务。


    2. 受影响的系统版本:

    • 银河和记官网登录桌面操作系统V10

    • 银河和记官网登录桌面操作系统V4

    • 银河和记官网登录桌面操作系统V4 SP1

    • 银河和记官网登录桌面操作系统V4 SP2

    • 银河和记官网登录桌面操作系统V4 SP3

    • 银河和记官网登录桌面操作系统V4 SP4

    • 银河和记官网登录服务器操作系统V4

    • 银河和记官网登录服务器操作系统V4 SP1

    • 银河和记官网登录服务器操作系统V4 SP2


    3. 受影响的产品

    在受影响的系统中,以下产品存在漏洞,需要及时进行安全更新

    • 源码:accountsservice,需要升级到 0.6.40-2kord11.6 或以上版本,受影响的安装包包括

      • accountsservice

      • gir1.2-accountsservice-1.0

      • libaccountsservice-dbg

      • libaccountsservice-dev

      • libaccountsservice0



    4. 修复建议

    请及时联系厂家进行安全更新,或使用一下方法进行修复。

    修复方法如下:

    • 方法一:配置kylin软件包源进行升级安装

      • 骤一:先配置kylin源,根据下面的页面,根据页面的引导进行apt源配置:https://archive.cq-jq.com/kylin/KYLIN-ALL/

      • 步骤二:在配置apt源地址后更新软件源,获取提供的软件列表,命令如下:$sudo apt-get update

      • 步骤三:查询系统内已安装的受影响的包及版本(见受影响的产品),命令如下:$dpkg -l | grep 受影响的安装包名称

      • 步骤四:如系统内受影响的安装包版本低于升级版本(0.6.40-2kord11.6),则需要进行升级安装,命令如下:$ sudo apt install 安装包名称

    • 方法二:下载安装包进行升级安装

      • 步骤一:查询系统内已安装的受影响的包及版本(见受影响的产品),命令如下:$dpkg -l | grep 受影响的安装包名称

      • 步骤二:如系统内受影响的安装包(见受影响的产品)版本低于升级版本(0.6.40-2kord11.6),则根据软件包下载链接下载修复版本的安装包,并安装,命令如下:$ sudo dpkg -i 安装包名称.deb

    注意:这种方法安装升级包时,可能依赖包也需要升级安装。


    5. 修复链接

    • accountsservice amd64 软件包下载地址:

      •  https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/accountsservice_0.6.40-2kord11.6k1_amd64.deb

      •  https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/gir1.2-accountsservice-1.0_0.6.40-2kord11.6k1_amd64.deb

      •  https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dbg_0.6.40-2kord11.6k1_amd64.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dev_0.6.40-2kord11.6k1_amd64.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-doc_0.6.40-2kord11.6k1_all.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice0_0.6.40-2kord11.6k1_amd64.deb

    • accountsservice arm64 软件包下载地址:

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/accountsservice_0.6.40-2kord11.6k1_arm64.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/gir1.2-accountsservice-1.0_0.6.40-2kord11.6k1_arm64.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dbg_0.6.40-2kord11.6k1_arm64.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dev_0.6.40-2kord11.6k1_arm64.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice0_0.6.40-2kord11.6k1_arm64.deb

    • accountsservice armhf 软件包下载地址:

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/accountsservice_0.6.40-2kord11.6k1_armhf.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/gir1.2-accountsservice-1.0_0.6.40-2kord11.6k1_armhf.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dbg_0.6.40-2kord11.6k1_armhf.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dev_0.6.40-2kord11.6k1_armhf.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice0_0.6.40-2kord11.6k1_armhf.deb

    • accountsservice i386 软件包下载地址:

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/accountsservice_0.6.40-2kord11.6k1_i386.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/gir1.2-accountsservice-1.0_0.6.40-2kord11.6k1_i386.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dbg_0.6.40-2kord11.6k1_i386.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dev_0.6.40-2kord11.6k1_i386.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice0_0.6.40-2kord11.6k1_i386.deb

    • accountsservice mips64el 软件包下载地址:

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/accountsservice_0.6.40-2kord11.6k1_mips64el.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/gir1.2-accountsservice-1.0_0.6.40-2kord11.6k1_mips64el.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dbg_0.6.40-2kord11.6k1_mips64el.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice-dev_0.6.40-2kord11.6k1_mips64el.deb

      • https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/main/a/accountsservice/libaccountsservice0_0.6.40-2kord11.6k1_mips64el.deb




    上一篇: CS2CSA-2017-14491 下一篇: CS2CSA-2020-15180

    试用

    服务

    动态

    联系