Red Hat近日報告了一個內核中的安全問題，根據描述，Red Hat內核在“關聯數據的身份驗證加密”（AEAD，Authenticated Encryption with Associated Data）中存在缺陷，這是一種加密技術。

具體是在IPsec 加密算法模塊authenc 的crypto/authenc.c 中的crypto_authenc_extractkeys 中發現了緩衝區超讀漏洞。當有效載荷大於4 字節且未遵循4 字節對齊邊界準則時，它將導致緩衝區超讀威脅，從而導致系統崩潰。此漏洞使具有用戶特權的本地攻擊者可以執行拒絕服務。

目前該漏洞已錄入CVE-2020-10769。

不過該問題在17個月前也就是19年1月的Linux LTS內核上游中已經修復過了，詳情見  https://lkml.org/lkml/2019/1/21/675。

並且在14個月前，該問題的回歸測試也已經提交到了LTP（Linux Test Project，Linux測試項目），此次發現這一特定下游問題，應當是LTP測試未通過導致的。因此報告安全的郵件中提醒：“大多數Linux內核已經修復了這一錯誤，而沒有在LTP中添加回歸測試，這意味著挑選特定內核補丁來修復LTP問題不如合併所有LTS內核修復程序來得穩妥。 ”