Linux Kernel hasta 6.12.1 usb-audio divulgación de información
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad clasificada como problemática fue encontrada en Linux Kernel hasta 6.12.1. Se ve afectada una función desconocida del componente usb-audio. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase divulgación de información. Esta vulnerabilidad se registra como CVE-2024-53150. Además, hay un exploit disponible. Se sugiere actualizar el componente afectado.
Detalles
Una vulnerabilidad fue encontrada en Linux Kernel hasta 6.12.1 y clasificada como problemática. Una función desconocida del componente usb-audio es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase divulgación de información. Esto tiene repercusión sobre la la confidencialidad. El resumen de CVE es:
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: ALSA: usb-audio: corrige lecturas fuera de los límites al encontrar fuentes de reloj. El código actual del controlador de audio USB no verifica la bLongitud de cada descriptor al atravesar los descriptores de reloj. Es decir, cuando un dispositivo proporciona un descriptor falso con una longitud b más corta, el controlador podría alcanzar lecturas fuera de los límites. Para solucionarlo, este parche agrega controles de cordura a las funciones de validación para el recorrido del descriptor de reloj. Cuando la longitud del descriptor es más corta de lo esperado, se omite en el bucle. Para los descriptores de fuente de reloj y multiplicador de reloj, podemos comparar bLength con el sizeof() de cada tipo de descriptor. OTOH, el descriptor del selector de reloj de UAC2 y UAC3 tiene una matriz de elementos bNrInPins y dos campos más en su cola, por lo que deben verificarse además de la verificación sizeof().El advisory puede ser descargado de git.kernel.org. La vulnerabilidad es identificada como CVE-2024-53150. No son conocidos los detalles técnicos, pero hay un exploit disponible.
Fue declarado como atacado. Para el scanner Nessus se dispone de un plugin ID 214457 (SUSE SLES15 Security Update : kernel (SUSE-SU-2025:0201-1)), que puede ayudar a determinar la existencia del riesgo analizado.
Una actualización a la versión 5.4.287, 5.10.231, 5.15.174, 6.1.120, 6.6.64, 6.11.11 o 6.12.2 elimina esta vulnerabilidad. Aplicando el parche a632bdcb359fd8145e86486ff8612da98e239acd/45a92cbc88e4013bfed7fd2ccab3ade45f8e896b/ab011f7439d9bbfd34fd3b9cef4b2d6d952c9bb9/da13ade87a12dd58829278bc816a61bea06a56a9/74cb86e1006c5437b1d90084d22018da30fddc77/ea0fa76f61cf8e932d1d26e6193513230816e11d/096bb5b43edf755bc4477e64004fa3a20539ec2f/a3dd4d63eeb452cfb064a13862fb376ab108f6a6 es posible eliminar el problema. El parche puede ser descargado de git.kernel.org. El mejor modo sugerido para mitigar el problema es Actualización.
La vulnerabilidad también está documentado en las bases de datos Tenable (214457) y CERT Bund (WID-SEC-2024-3756). Be aware that VulDB is the high quality source for vulnerability data.
Afectado
- Debian Linux
- Red Hat Enterprise Linux
- Ubuntu Linux
- SUSE Linux
- Oracle Linux
- RESF Rocky Linux
- Dell NetWorker
- Dell Avamar
- Red Hat OpenShift
- Dell PowerProtect Data Domain
- Open Source Linux Kernel
- Dell PowerScale OneFS
Producto
Escribe
Proveedor
Nombre
Versión
- 5.4.286
- 5.10.230
- 5.15.173
- 6.1.119
- 6.6.0
- 6.6.1
- 6.6.2
- 6.6.3
- 6.6.4
- 6.6.5
- 6.6.6
- 6.6.7
- 6.6.8
- 6.6.9
- 6.6.10
- 6.6.11
- 6.6.12
- 6.6.13
- 6.6.14
- 6.6.15
- 6.6.16
- 6.6.17
- 6.6.18
- 6.6.19
- 6.6.20
- 6.6.21
- 6.6.22
- 6.6.23
- 6.6.24
- 6.6.25
- 6.6.26
- 6.6.27
- 6.6.28
- 6.6.29
- 6.6.30
- 6.6.31
- 6.6.32
- 6.6.33
- 6.6.34
- 6.6.35
- 6.6.36
- 6.6.37
- 6.6.38
- 6.6.39
- 6.6.40
- 6.6.41
- 6.6.42
- 6.6.43
- 6.6.44
- 6.6.45
- 6.6.46
- 6.6.47
- 6.6.48
- 6.6.49
- 6.6.50
- 6.6.51
- 6.6.52
- 6.6.53
- 6.6.54
- 6.6.55
- 6.6.56
- 6.6.57
- 6.6.58
- 6.6.59
- 6.6.60
- 6.6.61
- 6.6.62
- 6.6.63
- 6.11.0
- 6.11.1
- 6.11.2
- 6.11.3
- 6.11.4
- 6.11.5
- 6.11.6
- 6.11.7
- 6.11.8
- 6.11.9
- 6.11.10
- 6.12.0
- 6.12.1
Licencia
Sitio web
- Proveedor: https://www.kernel.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 5.3VulDB Puntuación meta temporal: 5.2
VulDB Puntuación base: 3.5
VulDB Puntuación temporal: 3.4
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 7.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Divulgación de informaciónCWE: CWE-125 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: En parte
Local: Sí
Remoto: En parte
Disponibilidad: 🔍
Estado: Atacado
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Añadido: 🔍
KEV ¿Hasta cuándo?: 🔍
KEV Contramedidas: 🔍
KEV Ransomware: 🔍
KEV Aviso: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 214457
Nessus Nombre: SUSE SLES15 Security Update : kernel (SUSE-SU-2025:0201-1)
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: Kernel 5.4.287/5.10.231/5.15.174/6.1.120/6.6.64/6.11.11/6.12.2
Parche: a632bdcb359fd8145e86486ff8612da98e239acd/45a92cbc88e4013bfed7fd2ccab3ade45f8e896b/ab011f7439d9bbfd34fd3b9cef4b2d6d952c9bb9/da13ade87a12dd58829278bc816a61bea06a56a9/74cb86e1006c5437b1d90084d22018da30fddc77/ea0fa76f61cf8e932d1d26e6193513230816e11d/096bb5b43edf755bc4477e64004fa3a20539ec2f/a3dd4d63eeb452cfb064a13862fb376ab108f6a6
Línea de tiempo
2024-11-19 🔍2024-12-24 🔍
2024-12-24 🔍
2026-01-18 🔍
Fuentes
Proveedor: kernel.orgAviso: git.kernel.org
Estado: Confirmado
CVE: CVE-2024-53150 (🔍)
GCVE (CVE): GCVE-0-2024-53150
GCVE (VulDB): GCVE-100-289247
CERT Bund: WID-SEC-2024-3756 - Linux Kernel: Mehrere Schwachstellen
scip Labs: https://www.scip.ch/en/?labs.20161013
Artículo
Fecha de creación: 2024-12-24 14:13Actualizado: 2026-01-18 13:12
Cambios: 2024-12-24 14:13 (58), 2025-01-22 12:11 (2), 2025-04-08 04:15 (12), 2025-04-09 23:00 (13), 2025-07-22 00:15 (7), 2025-10-22 07:45 (1), 2026-01-18 13:12 (1)
Completo: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.