Linux Kernel hasta 6.9.7 mt8195 mtk-soundcard-driver.c divulgación de información

CVSS Puntuación meta temporalPrecio actual del exploit (≈)Puntuación de interés CTI
5.6$0-$5k0.00

Resumeninformación

Se ha identificado una vulnerabilidad clasificada como problemática en Linux Kernel hasta 6.9.7. Resulta afectada una función desconocida dentro del archivo sound/soc/mediatek/common/mtk-soundcard-driver.c dentro del componente mt8195. La alteración resulta en divulgación de información. Esta vulnerabilidad está identificada como CVE-2024-42088. Ningún exploit está disponible. Es recomendable actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad ha sido encontrada en Linux Kernel hasta 6.9.7 y clasificada como problemática. Una función desconocida del archivo sound/soc/mediatek/common/mtk-soundcard-driver.c del componente mt8195 es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase divulgación de información. Esto tiene repercusión sobre la la confidencialidad. CVE resume:

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: mediatek: mt8195: Agregar entrada de plataforma para el enlace dai ETDM1_OUT_BE. La confirmación e70b8dd26711 ("ASoC: mediatek: mt8195: Eliminar el componente afe-dai y volver a trabajar el enlace del códec") eliminó la entrada del códec. para el enlace dai ETDM1_OUT_BE por completo en lugar de reemplazarlo con COMP_EMPTY(). Esto funcionó por accidente ya que la entrada restante de la plataforma COMP_EMPTY() se convirtió en la entrada del códec, y la entrada de la plataforma quedó completamente vacía, efectivamente lo mismo que COMP_DUMMY() ya que snd_soc_fill_dummy_dai() no hace nada para las entradas de la plataforma. Esto provoca una advertencia de fuera de los límites de KASAN en mtk_soundcard_common_probe() en sound/soc/mediatek/common/mtk-soundcard-driver.c: for_each_card_prelinks(card, i, dai_link) { if (adsp_node && !strncmp(dai_link-> name, "AFE_SOF", strlen("AFE_SOF"))) dai_link->platforms->of_node = adsp_node; else if (!!dai_link->platforms->name && !dai_link->platforms->of_node) dai_link->platforms->of_node = platform_node; } donde el código espera que la matriz de plataformas tenga espacio para al menos una entrada. Agregue una entrada COMP_EMPTY() para que dai_link->platforms tenga espacio.

El advisory puede ser descargado de git.kernel.org. La vulnerabilidad es identificada como CVE-2024-42088. Hay detalles técnicos conocidos, pero no se dispone de un exploit.

Para el scanner Nessus se dispone de un plugin ID 210060 (Ubuntu 22.04 LTS / 24.04 LTS : Linux kernel kernel vulnerabilities (USN-7089-1)), que puede ayudar a determinar la existencia del riesgo analizado.

Una actualización a la versión 6.9.8 elimina esta vulnerabilidad. Aplicando el parche 42b9ab7a4d7e/282a4482e198 es posible eliminar el problema. El parche puede ser descargado de git.kernel.org. El mejor modo sugerido para mitigar el problema es Actualización.

La vulnerabilidad también está documentado en las bases de datos Tenable (210060) y CERT Bund (WID-SEC-2024-1722). If you want to get best quality of vulnerability data, you may have to visit VulDB.

Afectado

  • Debian Linux
  • Amazon Linux 2
  • Red Hat Enterprise Linux
  • Ubuntu Linux
  • SUSE Linux
  • IBM InfoSphere Guardium
  • Oracle Linux
  • NetApp FAS
  • NetApp ActiveIQ Unified Manager
  • Siemens SIMATIC S7
  • Oracle VM
  • IBM Security Guardium
  • RESF Rocky Linux
  • Broadcom Brocade SANnav
  • Dell PowerScale
  • Open Source Linux Kernel
  • IBM QRadar SIEM
  • Dell integrated Dell Remote Access Controller
  • Dell Avamar
  • IBM Storage Scale
  • IBM Spectrum Protect Plus
  • Juniper Junos Space
  • IBM Storage Scale System
  • SolarWinds Security Event Manager
  • Dell PowerProtect Data Domain
  • Dell PowerProtect Data Domain Management Center
  • Dell PowerProtect Data Domain OS

Productoinformación

Escribe

Proveedor

Nombre

Versión

Licencia

Sitio web

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 5.6
VulDB Puntuación meta temporal: 5.6

VulDB Puntuación base: 3.5
VulDB Puntuación temporal: 3.4
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 7.8
NVD Vector: 🔍

CVSSv2información

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplejidadAutenticaciónConfidencialidadIntegridadDisponibilidad
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Divulgación de información
CWE: CWE-125 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Físico: En parte
Local: Sí
Remoto: En parte

Disponibilidad: 🔍
Estado: No está definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HoyDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 210060
Nessus Nombre: Ubuntu 22.04 LTS / 24.04 LTS : Linux kernel kernel vulnerabilities (USN-7089-1)

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔍

Actualización: Kernel 6.9.8
Parche: 42b9ab7a4d7e/282a4482e198

Línea de tiempoinformación

2024-07-29 🔍
2024-07-29 +0 días 🔍
2024-07-29 +0 días 🔍
2025-09-25 +423 días 🔍

Fuentesinformación

Proveedor: kernel.org

Aviso: git.kernel.org
Estado: Confirmado

CVE: CVE-2024-42088 (🔍)
GCVE (CVE): GCVE-0-2024-42088
GCVE (VulDB): GCVE-100-272746
CERT Bund: WID-SEC-2024-1722 - Linux Kernel: Mehrere Schwachstellen ermöglichen nicht spezifizierten Angriff

Artículoinformación

Fecha de creación: 2024-07-29 19:14
Actualizado: 2025-09-25 22:24
Cambios: 2024-07-29 19:14 (59), 2024-07-30 19:05 (1), 2024-11-02 00:23 (3), 2025-07-15 22:00 (7), 2025-07-19 18:17 (1), 2025-09-03 06:56 (1), 2025-09-25 22:24 (11)
Completo: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Discusión

Sin comentarios aún. Idiomas: es + pt + en.

Por favor, inicie sesión para comentar.

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!