CVE-2023-53847 in Linuxinfo

Zusammenfassung

von VulDB • 15.05.2026

Im Linux-Kernel wurde folgende Schwachstelle behoben:

usb-storage: alauda: Behebung von uninit-value in alauda_check_media()

Syzbot hat KMSAN dazu veranlasst, über den Zugriff auf einen nicht initialisierten Wert im alauda-Subtreiber von usb-storage zu berichten:

BUG: KMSAN: uninit-value in alauda_transport+0x462/0x57f0 drivers/usb/storage/alauda.c:1137 CPU: 0 PID: 12279 Comm: usb-storage Not tainted 5.3.0-rc7+ #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 Call Trace: __dump_stack lib/dump_stack.c:77 [inline]
dump_stack+0x191/0x1f0 lib/dump_stack.c:113 kmsan_report+0x13a/0x2b0 mm/kmsan/kmsan_report.c:108 __msan_warning+0x73/0xe0 mm/kmsan/kmsan_instr.c:250 alauda_check_media+0x344/0x3310 drivers/usb/storage/alauda.c:460

Das Problem besteht darin, dass alauda_check_media() nicht überprüft, ob der USB-Transfer erfolgreich war, bevor es versucht, die empfangenen Daten zu verwenden. Was im Falle eines fehlerhaften Transfers geschehen sollte, ist nicht vollständig klar, aber ein vernünftiger konservativer Ansatz besteht darin, so zu tun, als wäre kein Medium vorhanden.

Ein ähnliches Problem besteht in einem usb_stor_dbg()-Aufruf in alauda_get_media_status(). In diesem Fall ist der Aufruf bei einem Fehler redundant, da usb_stor_ctrl_transfer() bereits eine Debugging-Meldung ausgibt.

Schließlich ist, unabhängig vom Zugriff auf nicht initialisierten Speicher, die Tatsache, dass alauda_check_media() DMA auf einen Puffer im Stack durchführt. Zum Glück stellt usb-storage einen allgemeinen, für DMA geeigneten Puffer für solche Verwendungen bereit. Wir werden stattdessen diesen verwenden.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Linux

Reservieren

09.12.2025

Veröffentlichung

09.12.2025

Moderieren

akzeptiert

Eintrag

VDB-334978

CPE

bereit

EPSS

0.00209

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!