CISA将Linux内核漏洞列入已知被利用漏洞目录

文章预览

美国网络安全和基础设施安全局（CISA）近日将两个Linux内核漏洞（编号分别为CVE-2024-53197和CVE-2024-53150）列入其已知被利用漏洞（KEV）目录。 01 漏洞技术细节分析 CVE-2024-53197漏洞（CVSS评分为7.8）存在于Linux内核的ALSA USB音频驱动中，主要影响Extigy和Mbox设备。该漏洞源于对USB配置数据的错误处理，可能导致内存越界访问。具体而言，问题涉及连接USB设备提供的bNumConfigurations字段。如果该值设置高于内存中分配的配置空间，后续内核操作与该数据交互时可能访问超出预定范围的内存，存在内存损坏或系统不稳定的风险。目前该漏洞已通过在使用前验证配置计数得到修复，确保内核不会访问分配区域之外的内存。 CVE-2024-53150漏洞（CVSS评分同为7.8）同样存在于Linux内核的ALSA USB音频驱动中。该驱动在遍历过程中未能验证USB音频时钟描述符中的 bLength 字段。这 ………………………………