发布编号：TACERT-ANA-2021122703125858

发布时间：2021-12-27 15:32:59

事故类型：ANA-漏洞预警

发现时间：2021-12-27 14:20:59

影响等级：低

 

[主旨说明:]

【漏洞预警】Ubuntu的帐号服务元件存在漏洞，恐让攻击者能取得Root权限

 

[内容说明:]

转发 数联资安(ISSDU)ISSDU-ANA-202112-0003

Ubuntu作业系统里的桌面环境GNOME，其中的AccountsService元件，存在内存双重释放的漏洞CVE-2021-3939，影响Ubuntu 21.10、21.04、20.04 LTS。

一旦攻击者利用这项漏洞，就能在本机端提升权限，研究人员也提出概念性验证攻击影片，并指出此漏洞并非每次都能马上触发，但攻击者可慢慢测试数个小时直到成功为止。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

● Ubuntu 21.10

● Ubuntu 21.04

● Ubuntu 20.04 LTS

 

[建议措施:]

请升级至AccountsService 版本 0.6.55-0ubuntu12~20.04.5、0.6.55-0ubuntu13.3、0.6.55-0ubuntu14.1 (含)以上。

 

[参考资料:]

1、https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3939

2、https://www.bleepingcomputer.com/news/security/attackers-can-get-root-by-crashing-ubuntu-s-accountsservice/

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw