腾讯安全团队提交1个Linux内存泄露漏洞，漏洞可导致系统失去响应

腾讯安全团队近日提交了1个Linux内核内存泄漏漏洞，漏洞可能造成系统资源泄漏，无法得到释放。攻击者利用漏洞可能使系统失去响应，漏洞风险等级为中，漏洞影响内核版本为4.7~5.9.6的Linux系统。目前该漏洞已经修复，漏洞细节也已按Linux社区规则予以公开披露，腾讯安全专家建议Linux用户升级至最新的Linux内核版本。

Perf 是内置于 Linux 内核源码树中的性能剖析工具，基于事件采样的原理，以性能事件为基础，支持针对处理器相关性能指标与操作系统相关性能指标的性能剖析，可用于性能瓶颈的查找与热点代码的定位。Linux内核在实现Perf事件初始化设置时，存在一处内存泄漏漏洞，攻击者可以利用该漏洞瘫痪整个系统，基于Linux内核的Ubuntu、CentOS、RedHat、SUSE、Debian等操作系统都受到该漏洞的影响。 

Linux是一种开源电脑操作系统内核。它是一个用C语言写成，符合POSIX标准的类Unix操作系统，一些组织或厂家，将Linux系统的内核与外围实用程序（Utilities）软件和文档包装起来，并提供一些系统安装界面和系统配置、设定与管理工具，就构成了一种Linux发行版本。

CVE-2020-25704

中风险

Linux内核4.7~5.9.6

目前Linux社区在最新的版本中已经修复了该漏洞，建议受影响的用户升级至最新版本。

2020/11/02，腾讯安全团队发现漏洞；

2020/11/03，邮件报告给[email protected]，[email protected]；

2020/11/09，分配CVE-2020-25704；

2020/11/09，漏洞细节公布在oss-security上：https://www.openwall.com/lists/oss-security/2020/11/09/1

有关该漏洞的详细技术分析，请看今天的第二条推送：《Linux perf_event_parse_addr_filter 内存泄露漏洞详细分析》

参考链接：

1) perf:Introduce address range filtering [LWN.net] https://lwn.net/Articles/684666/
2) perf-record(1)- Linux manual page https://man7.org/linux/man-pages/man1/perf-record.1.html