1.修復的CVE ·CVE-2021-33285 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于在 NTFS-3 ＜ 2021.8.22 中，由 ntfs_inode_lookup_name 中未捕捉的屬性長度引起的注意力制作的 NTFS 映像可能會觸發(fā)越界訪問。 ·CVE-2021-33286 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于 在 NTFS-3G ＜ 2021.8.22 中，由 ntfs_inode_lookup_by_name 中未清理的屬性長度引起的精心制作的 NTFS 映像可能會觸發(fā)越界訪問。 ·CVE-2021-33287 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于Tuxera NTFS-3G 版本 ＜ 2021.8.22，當在函數(shù) ntfs_attr_pread_i 中讀取特制的 NTFS 屬性時，可能會發(fā)生堆緩沖區(qū)溢出并允許寫入任意內存或拒絕應用程序服務。 ·CVE-2021-33289 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在安全漏洞，該漏洞源于在低于 2021.8.22 的 Tuxera NTFS-3G 版本中，當在 NTFS 映像中提供特制的 MFT 部分時，可能會發(fā)生堆緩沖區(qū)溢出并允許執(zhí)行代碼。 ·CVE-2021-35266 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于 在低于 2021.8.22 的 Tuxera NTFS-3G 版本中，當在 NTFS 映像中提供特制的 NTFS inode 路徑名時，可能會發(fā)生堆緩沖區(qū)溢出，從而導致內存泄露、拒絕服務甚至代碼執(zhí)行。 ·CVE-2021-35267 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在安全漏洞，該漏洞源于在低于 2021.8.22 的 Tuxera NTFS-3G 版本中，在修正 MFT 和 MFTMirror 中的差異時可能會發(fā)生堆棧緩沖區(qū)溢出，從而允許在 setuid-root 時執(zhí)行代碼或提升權限。 ·CVE-2021-35268 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在安全漏洞，該漏洞源于Tuxera NTFS-3G 版本 ＜ 2021.8.22，當在函數(shù) ntfs_inode_real_open 中加載特制的 NTFS inode 時，可能會發(fā)生堆緩沖區(qū)溢出，從而允許執(zhí)行代碼和提升權限。 ·CVE-2021-35269 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在安全漏洞，該漏洞源于Tuxera NTFS-3G 版本 ＜ 2021.8.22，當在函數(shù) ntfs_attr_setup_flag 中設置來自 MFT 的特制 NTFS 屬性時，可能會發(fā)生堆緩沖區(qū)溢出，從而允許執(zhí)行代碼和提升權限。 ·CVE-2021-39251 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在安全漏洞，該漏洞源于精心制作的 NTFS 映像可能會導致 NTFS-3G ＜ 2021.8.22 中 ntfs_extent_inode_open 中的 NULL 指針取消引用。 ·CVE-2021-39252 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在安全漏洞，該漏洞源于精心制作的 NTFS 映像可能會導致在 NTFS-3G ＜ 2021.8.22 中的 ntfs_ie_lookup 中讀取越界。 ·CVE-2021-39253 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 中存在安全漏洞，該漏洞源于精心制作的 NTFS 映像可能會導致在 NTFS-3G ＜ 2021.8.22 中的 ntfs_runlists_merge_i 中發(fā)生越界讀取。 ·CVE-2021-39254 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在安全漏洞，該漏洞源于精心制作的 NTFS 映像可能會導致 memmove 中的整數(shù)溢出，從而導致 NTFS-3G ＜ 2021.8.22 中函數(shù) ntfs_attr_record_resize 中基于堆的緩沖區(qū)溢出。 ·CVE-2021-39255 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 中存在安全漏洞，該漏洞源于精心制作的 NTFS 映像可能會導致在 NTFS-3G ＜ 2021.8.22 中的 ntfs_runlists_merge_i 中發(fā)生越界讀取。 ·CVE-2021-39256 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于 NTFS-3G 所有版本中存在多個緩沖區(qū)溢出。 ·CVE-2021-39257 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 中存在安全漏洞，該漏洞源于帶有未分配位圖的精心制作的 NTFS 圖像可能會導致無限的遞歸函數(shù)調用鏈（從 ntfs_attr_pwrite 開始），從而導致 NTFS-3G ＜ 2021.8.22 中的堆棧消耗。 ·CVE-2021-39258 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，在 NTFS-3G ＜ 2021.8.22 中，由 ntfs_inode_lookup_by_name 中未清理的屬性長度引起的精心制作的 NTFS 映像可能會觸發(fā)越界訪問。 ·CVE-2021-39259 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于在 NTFS-3G ＜ 2021.8.22 中，由 ntfs_inode_lookup_by_name 中未清理的屬性長度引起的精心制作的 NTFS 映像可能會觸發(fā)越界訪問。 ·CVE-2021-39260 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于在 NTFS-3G ＜ 2021.8.22 中，由 ntfs_inode_lookup_by_name 中未清理的屬性長度引起的精心制作的 NTFS 映像可能會觸發(fā)越界訪問。 ·CVE-2021-39261 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在安全漏洞，該漏洞源于精心制作的 NTFS 映像可能會導致 NTFS-3G ＜ 2021.8.22 中 ntfs_compressed_pwrite 中基于堆的緩沖區(qū)溢出。 ·CVE-2021-39262 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于精心制作的 NTFS 映像可能會導致 NTFS-3G ＜ 2021.8.22 中 ntfs_decompress 中的越界訪問。 ·CVE-2021-39263 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。NTFS-3G 存在緩沖區(qū)錯誤漏洞，該漏洞源于在 NTFS-3G ＜ 2021.8.22 中，精心制作的 NTFS 映像可能會觸發(fā)基于堆的緩沖區(qū)溢出，這是由 ntfs_get_attribute_value 中的未清理屬性引起的。 ·CVE-2021-46790 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。Tuxera NTFS-3G 2021.8.22 版本及之前版本存在安全漏洞，該漏洞源于 ntfsck 具有基于堆的緩沖區(qū)溢出。 ·CVE-2022-30783 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在代碼注入漏洞，該漏洞源于fuse_kern_mount中存在無效返回碼。 ·CVE-2022-30784 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在安全漏洞，該漏洞源于ntfs_get_attribute_value存在問題。攻擊者通過特制的NTFS鏡像利用該漏洞實現(xiàn)堆耗盡。 ·CVE-2022-30785 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在代碼注入漏洞，該漏洞源于fuse_lib_readdir存在任意內存讀取和寫入問題。 ·CVE-2022-30786 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在安全漏洞，該漏洞源于ntfs_names_full_collate存在問題。攻擊者通過特制的NTFS鏡像利用該漏洞實現(xiàn)堆耗盡。 ·CVE-2022-30787 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在數(shù)字錯誤漏洞，該漏洞源于fuse_lib_readdir中整數(shù)下溢導致任意內存讀寫問題。 ·CVE-2022-30788 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在安全漏洞，該漏洞源于ntfs_mft_rec_alloc 中存在基于堆的緩沖區(qū)溢出。攻擊者可以通過特制的NTFS鏡像利用該漏洞。 ·CVE-2022-30789 描述：Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區(qū)讀寫的驅動程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在安全漏洞，該漏洞源于ntfs_check_log_client_array 中存在基于堆的緩沖區(qū)溢出。攻擊者可以通過特制的NTFS鏡像利用該漏洞。 2.受影響的軟件包 ·銀河麒麟高級服務器操作系統(tǒng) V10 SP1 ·loongarch64架構: ntfs-3g、ntfs-3g-devel、ntfs-3g-help 3.軟件包修復版本 ·銀河麒麟高級服務器操作系統(tǒng) V10 SP1 (loongarch64) ntfs-3g-2022.5.17-1.a.ky10或以上版本 ntfs-3g-devel-2022.5.17-1.a.ky10或以上版本 ntfs-3g-help-2022.5.17-1.a.ky10或以上版本 4.修復方法 方法一：配置源進行升級安裝 1.打開軟件包源配置文件，根據倉庫地址進行修改。 倉庫源地址： 銀河麒麟高級服務器操作系統(tǒng) V10 SP1 loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/ 2.配置完成后執(zhí)行更新命令進行升級，命令如下： yum update Packagename 方法二：下載安裝包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包 列表進行升級安裝, 命令如下： yum install Packagename 3.升級完成后是否需要重啟服務或操作系統(tǒng)： CVE-2021-33285:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-33286:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-33287:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-33289:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-35266:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-35267:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-35268:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-35269:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39251:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39252:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39253:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39254:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39255:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39256:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39257:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39258:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39259:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39260:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39261:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39262:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-39263:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2021-46790:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2022-30783:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2022-30784:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2022-30785:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2022-30786:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2022-30787:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2022-30788:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 CVE-2022-30789:無需重啟操作系統(tǒng)與服務即可使漏洞修復生效。 5.軟件包下載地址 ·銀河麒麟高級服務器操作系統(tǒng) V10 SP1 ntfs-3g(loongarch64)軟件包下載地址: https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/ntfs-3g-2022.5.17-1.a.ky10.loongarch64.rpm https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/ntfs-3g-devel-2022.5.17-1.a.ky10.loongarch64.rpm https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/ntfs-3g-help-2022.5.17-1.a.ky10.loongarch64.rpm 注：其他相關依賴包請到相同目錄下載 6.修復驗證 使用軟件包查詢命令，查看相關軟件包版本是否與修復版本一致，如果版本一致，則說明修復成功。 sudo rpm -qa | grep Packagename