Red Hat 近日報告了一個內核中的安全問題，根據描述，Red Hat 內核在“關聯數據的身份驗證加密”(AEAD，Authenticated Encryption with Associated Data)中存在缺陷，這是一種加密技術。具體是在 IPsec 加密算法模塊 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中發現了緩沖區超讀漏洞。當有效載荷大于 4 字節且未遵循 4 字節對齊邊界準則時，它將導致緩沖區超讀威脅，從而導致系統崩潰。此漏洞使具有用戶特權的本地攻擊者可以執行拒絕服務。

目前該漏洞已錄入 CVE-2020-10769。

不過該問題在 17 個月前也就是 19 年 1 月的 Linux LTS 內核上游中已經修復過了，詳情見 https://lkml.org/lkml/2019/1/21/675。

并且在 14 個月前，該問題的回歸測試也已經提交到了 LTP(Linux Test Project，Linux 測試項目)，此次發現這一特定下游問題，應當是 LTP 測試未通過導致的。因此報告安全的郵件中提醒：“大多數 Linux 內核已經修復了這一錯誤，而沒有在 LTP 中添加回歸測試，這意味著挑選特定內核補丁來修復 LTP 問題不如合并所有 LTS 內核修復程序來得穩妥。”