数据湖、Serveless、微服务、边缘计算，大厂的「云原生」都怎么玩？>>>

近日，来自俄罗斯 Positive Technologies 公司 Linux安全开发人员Alexander Popov发现并修复了 Linux 内核虚拟套接字实现中的五个安全漏洞，攻击者可以利用这些漏洞 （CVE-2021-26708）获得 root 权限，并通过拒绝服务（DoS）攻击服务器。

这些漏洞在加入虚拟套接字多传输支持时出现。这种网络传输促进了虚拟机（VM）与其主机之间的通信。 它通常被代理和管理程序服务使用，这些服务需要一个独立于虚拟机网络配置的通信通道。因此，在云上运行虚拟机的人（现在几乎所有人都是这样）特别容易受到影响。

漏洞的核心问题是内核驱动 CONFIG_VSOCKETS 和 CONFIG_VIRTIO_VSOCKETS 的竞争。在所有主流 Linux 发行版中，这些驱动都是作为内核模块出厂的。之所以会出现如此严重的问题，是因为每当普通用户创建一个 AF_VSOCK 套接字时，这些易受攻击的模块就会被自动加载。 当系统的实质行为取决于不可控事件的顺序或时间时，就会存在竞争。

不过，目前这些漏洞已经通过补丁修复，并被合入主线分支中。红帽企业 Linux（RHEL）8、Debian、Ubuntu 和 SUSE 等流行的 Linux 发行版也采用了该补丁。该漏洞的通用漏洞评分系统（CVSS）v3 基础分值为 7.0，严重程度为高，因此建议用户尽快进行系统更新。