1.修复的CVE ·CVE-2021-33285 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于在 NTFS-3 ＜ 2021.8.22 中，由 ntfs_inode_lookup_name 中未捕捉的属性长度引起的注意力制作的 NTFS 映像可能会触发越界访问。 ·CVE-2021-33286 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于 在 NTFS-3G ＜ 2021.8.22 中，由 ntfs_inode_lookup_by_name 中未清理的属性长度引起的精心制作的 NTFS 映像可能会触发越界访问。 ·CVE-2021-33287 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于Tuxera NTFS-3G 版本 ＜ 2021.8.22，当在函数 ntfs_attr_pread_i 中读取特制的 NTFS 属性时，可能会发生堆缓冲区溢出并允许写入任意内存或拒绝应用程序服务。 ·CVE-2021-33289 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在安全漏洞，该漏洞源于在低于 2021.8.22 的 Tuxera NTFS-3G 版本中，当在 NTFS 映像中提供特制的 MFT 部分时，可能会发生堆缓冲区溢出并允许执行代码。 ·CVE-2021-35266 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于 在低于 2021.8.22 的 Tuxera NTFS-3G 版本中，当在 NTFS 映像中提供特制的 NTFS inode 路径名时，可能会发生堆缓冲区溢出，从而导致内存泄露、拒绝服务甚至代码执行。 ·CVE-2021-35267 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在安全漏洞，该漏洞源于在低于 2021.8.22 的 Tuxera NTFS-3G 版本中，在修正 MFT 和 MFTMirror 中的差异时可能会发生堆栈缓冲区溢出，从而允许在 setuid-root 时执行代码或提升权限。 ·CVE-2021-35268 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在安全漏洞，该漏洞源于Tuxera NTFS-3G 版本 ＜ 2021.8.22，当在函数 ntfs_inode_real_open 中加载特制的 NTFS inode 时，可能会发生堆缓冲区溢出，从而允许执行代码和提升权限。 ·CVE-2021-35269 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在安全漏洞，该漏洞源于Tuxera NTFS-3G 版本 ＜ 2021.8.22，当在函数 ntfs_attr_setup_flag 中设置来自 MFT 的特制 NTFS 属性时，可能会发生堆缓冲区溢出，从而允许执行代码和提升权限。 ·CVE-2021-39251 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在安全漏洞，该漏洞源于精心制作的 NTFS 映像可能会导致 NTFS-3G ＜ 2021.8.22 中 ntfs_extent_inode_open 中的 NULL 指针取消引用。 ·CVE-2021-39252 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在安全漏洞，该漏洞源于精心制作的 NTFS 映像可能会导致在 NTFS-3G ＜ 2021.8.22 中的 ntfs_ie_lookup 中读取越界。 ·CVE-2021-39253 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 中存在安全漏洞，该漏洞源于精心制作的 NTFS 映像可能会导致在 NTFS-3G ＜ 2021.8.22 中的 ntfs_runlists_merge_i 中发生越界读取。 ·CVE-2021-39254 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在安全漏洞，该漏洞源于精心制作的 NTFS 映像可能会导致 memmove 中的整数溢出，从而导致 NTFS-3G ＜ 2021.8.22 中函数 ntfs_attr_record_resize 中基于堆的缓冲区溢出。 ·CVE-2021-39255 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 中存在安全漏洞，该漏洞源于精心制作的 NTFS 映像可能会导致在 NTFS-3G ＜ 2021.8.22 中的 ntfs_runlists_merge_i 中发生越界读取。 ·CVE-2021-39256 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于 NTFS-3G 所有版本中存在多个缓冲区溢出。 ·CVE-2021-39257 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 中存在安全漏洞，该漏洞源于带有未分配位图的精心制作的 NTFS 图像可能会导致无限的递归函数调用链（从 ntfs_attr_pwrite 开始），从而导致 NTFS-3G ＜ 2021.8.22 中的堆栈消耗。 ·CVE-2021-39258 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，在 NTFS-3G ＜ 2021.8.22 中，由 ntfs_inode_lookup_by_name 中未清理的属性长度引起的精心制作的 NTFS 映像可能会触发越界访问。 ·CVE-2021-39259 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于在 NTFS-3G ＜ 2021.8.22 中，由 ntfs_inode_lookup_by_name 中未清理的属性长度引起的精心制作的 NTFS 映像可能会触发越界访问。 ·CVE-2021-39260 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于在 NTFS-3G ＜ 2021.8.22 中，由 ntfs_inode_lookup_by_name 中未清理的属性长度引起的精心制作的 NTFS 映像可能会触发越界访问。 ·CVE-2021-39261 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在安全漏洞，该漏洞源于精心制作的 NTFS 映像可能会导致 NTFS-3G ＜ 2021.8.22 中 ntfs_compressed_pwrite 中基于堆的缓冲区溢出。 ·CVE-2021-39262 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于精心制作的 NTFS 映像可能会导致 NTFS-3G ＜ 2021.8.22 中 ntfs_decompress 中的越界访问。 ·CVE-2021-39263 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。NTFS-3G 存在缓冲区错误漏洞，该漏洞源于在 NTFS-3G ＜ 2021.8.22 中，精心制作的 NTFS 映像可能会触发基于堆的缓冲区溢出，这是由 ntfs_get_attribute_value 中的未清理属性引起的。 ·CVE-2021-46790 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。Tuxera NTFS-3G 2021.8.22 版本及之前版本存在安全漏洞，该漏洞源于 ntfsck 具有基于堆的缓冲区溢出。 ·CVE-2022-30783 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在代码注入漏洞，该漏洞源于fuse_kern_mount中存在无效返回码。 ·CVE-2022-30784 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在安全漏洞，该漏洞源于ntfs_get_attribute_value存在问题。攻击者通过特制的NTFS镜像利用该漏洞实现堆耗尽。 ·CVE-2022-30785 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在代码注入漏洞，该漏洞源于fuse_lib_readdir存在任意内存读取和写入问题。 ·CVE-2022-30786 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在安全漏洞，该漏洞源于ntfs_names_full_collate存在问题。攻击者通过特制的NTFS镜像利用该漏洞实现堆耗尽。 ·CVE-2022-30787 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在数字错误漏洞，该漏洞源于fuse_lib_readdir中整数下溢导致任意内存读写问题。 ·CVE-2022-30788 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在安全漏洞，该漏洞源于ntfs_mft_rec_alloc 中存在基于堆的缓冲区溢出。攻击者可以通过特制的NTFS镜像利用该漏洞。 ·CVE-2022-30789 描述：Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。Tuxera NTFS-3G 2021.8.22 及其之前版本存在安全漏洞，该漏洞源于ntfs_check_log_client_array 中存在基于堆的缓冲区溢出。攻击者可以通过特制的NTFS镜像利用该漏洞。 2.受影响的软件包 ·银河麒麟高级服务器操作系统 V10 SP1 ·loongarch64架构: ntfs-3g、ntfs-3g-devel、ntfs-3g-help 3.软件包修复版本 ·银河麒麟高级服务器操作系统 V10 SP1 (loongarch64) ntfs-3g-2022.5.17-1.a.ky10或以上版本 ntfs-3g-devel-2022.5.17-1.a.ky10或以上版本 ntfs-3g-help-2022.5.17-1.a.ky10或以上版本 4.修复方法 方法一：配置源进行升级安装 1.打开软件包源配置文件，根据仓库地址进行修改。 仓库源地址： 银河麒麟高级服务器操作系统 V10 SP1 loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/ 2.配置完成后执行更新命令进行升级，命令如下： yum update Packagename 方法二：下载安装包进行升级安装 通过软件包地址下载软件包，使用软件包升级命令根据受影响的软件包 列表进行升级安装, 命令如下： yum install Packagename 3.升级完成后是否需要重启服务或操作系统： CVE-2021-33285:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-33286:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-33287:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-33289:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-35266:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-35267:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-35268:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-35269:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39251:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39252:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39253:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39254:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39255:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39256:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39257:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39258:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39259:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39260:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39261:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39262:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-39263:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2021-46790:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2022-30783:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2022-30784:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2022-30785:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2022-30786:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2022-30787:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2022-30788:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2022-30789:无需重启操作系统与服务即可使漏洞修复生效。 5.软件包下载地址 ·银河麒麟高级服务器操作系统 V10 SP1 ntfs-3g(loongarch64)软件包下载地址: https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/ntfs-3g-2022.5.17-1.a.ky10.loongarch64.rpm https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/ntfs-3g-devel-2022.5.17-1.a.ky10.loongarch64.rpm https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/ntfs-3g-help-2022.5.17-1.a.ky10.loongarch64.rpm 注：其他相关依赖包请到相同目录下载 6.修复验证 使用软件包查询命令，查看相关软件包版本是否与修复版本一致，如果版本一致，则说明修复成功。 sudo rpm -qa | grep Packagename