Linux Kernel bis 6.1.82/6.6.22/6.7.10/6.8.1 ASoC Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.3$0-$5k0.00

In Linux Kernel bis 6.1.82/6.6.22/6.7.10/6.8.1 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um ein unbekannter Codeteil der Komponente ASoC. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-119. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

In the Linux kernel, the following vulnerability has been resolved: ASoC: SOF: Add some bounds checking to firmware data Smatch complains about "head->full_size - head->header_size" can underflow. To some extent, we're always going to have to trust the firmware a bit. However, it's easy enough to add a check for negatives, and let's add a upper bounds check as well.

Bereitgestellt wird das Advisory unter git.kernel.org. Die Verwundbarkeit wird seit dem 19.02.2024 als CVE-2024-26927 geführt. Das Ausnutzen gilt als leicht. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 28.04.2024).

Ein Aktualisieren auf die Version 6.1.83, 6.6.23, 6.7.11, 6.8.2 oder 6.9-rc1 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches d133d67e7e72/ced7df8b3c5c/044e22066715/9eeb8e1231f6/98f681b0f84c lösen. Dieser kann von git.kernel.org bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Die Schwachstellen VDB-255079, VDB-259196, VDB-262742 und VDB-265007 sind ähnlich.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔒
VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.3

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔒
ATT&CK: 🔒

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Kernel 6.1.83/6.6.23/6.7.11/6.8.2/6.9-rc1
Patch: d133d67e7e72/ced7df8b3c5c/044e22066715/9eeb8e1231f6/98f681b0f84c

Timelineinfo

19.02.2024 CVE zugewiesen
28.04.2024 +68 Tage Advisory veröffentlicht
28.04.2024 +0 Tage VulDB Eintrag erstellt
28.04.2024 +0 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Hersteller: kernel.org

Advisory: git.kernel.org
Status: Bestätigt

CVE: CVE-2024-26927 (🔒)
Siehe auch: 🔒

Eintraginfo

Erstellt: 28.04.2024 16:21
Anpassungen: 28.04.2024 16:21 (57)
Komplett: 🔍
Cache ID: 3:2A5:103

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!