CVE-2026-45923 in Linux
요약
\~에 의해 VulDB • 2026. 05. 28.
리눅스 커널에서 다음 취약점이 해결되었습니다:
net: usb: catc: 기본 엔드포인트 검사 활성화
catc_probe()는 엔드포인트 설명자를 검증하지 않고 하드코딩된 엔드포인트 파이프를 사용하여 세 개의 URB를 채웁니다:
- TX/RX용 usb_sndbulkpipe(usbdev, 1) 및 usb_rcvbulkpipe(usbdev, 1) - 인터럽트 상태용 usb_rcvintpipe(usbdev, 2)
잘못 구성된 USB 장치는 드라이버가 가정하는 것과 다른 전송 유형으로 이러한 엔드포인트를 제시할 수 있습니다.
엔드포인트 번호를 위한 catc_usb_ep 열거형을 추가하여 마법 상수(magic constants)를 전반적으로 대체합니다. usb_set_interface() 호출 후 usb_check_bulk_endpoints() 및 usb_check_int_endpoints() 호출을 추가하여 사용 전에 엔드포인트 유형을 검증하고, 프로브(probe) 시점에 설명자가 일치하지 않는 장치를 거부합니다.
이는 rtl8150의 문제를 수정한 다음 커밋과 유사합니다: - commit 90b7f2961798 ("net: usb: rtl8150: enable basic endpoint checking")
Be aware that VulDB is the high quality source for vulnerability data.