Linux Kernel __mdiobus_register() funkció szolgáltatás megtagadásos sérülékenysége

CH azonosító: CH-14599 Cím: Linux Kernel __mdiobus_register() funkció szolgáltatás megtagadásos sérülékenysége Angol cím: Linux Kernel __mdiobus_register() Function Denial of Service Vulnerability

Publikálás dátuma: 2019.06.17. Utolsó módosítás dátuma: 2019.06.17.


Leírás

Magas kockázati besorolású sérülékenység vált ismertté a Linux kernelben, amelyet kihasználva a helyi felhasználók szolgáltatás megtagadásos állapotot (DoS) idézhetnek elő a célrendszerben.

Leírás forrása: Egyéb referencia: nvd.nist.gov


Elemzés leírás

A hiba az érintett szoftverekben található drivers/net/phy/mdio_bus.c fájlban lévő __mdiobus_register() funkció hibájából alakul ki. A támadók ezt a hibát a rendszerbe történő autentikálást követően egy rossz indulatú bemeneti paramétereket átadó program futtatásának segítségével használhatják ki.

A sikeres támadás egy use-after-free állapotot idéz elő a ixed_mdio_bus_init() funkcióban, amelynek eredményeképp szolgáltatás megtagadásos állapot lép fel a rendszerben. A hiba tesztelésére exploit (Proof of Concept) is publikálásra került.

Megoldás: Frissítsen a legfrissebb verzióra.

Érintett Verziók: A nagy számú érintettség miatt a verziók listája az alábbi linken található meg.

Linkek: https://tools.cisco.com/security/center/viewAlert.x?alertId=60336

Elemzés leírás forrása: Egyéb referencia: tools.cisco.com


Hatás

CVSS3 Severity and Metrics

Base score: 7.1 (Magas)
Vector: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H/E:P/RL:O/RC:C
Impact Score:
Exploitability Score:


Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): None
Integrity Impact (I): High
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: 5.5 (Közepes)
Vector: AV:L/AC:L/Au:M/C:P/I:C/A:P/E:POC/RL:OF/RC:C/CDP:N/TD:N/CR:L/IR:M/AR:
Impact Subscore:
Exploitability Subscore:


Access Vector (AV): Local
Access Complexity (AC): Low
Confidentiality Impact (C): Partial
Integrity Impact (S): Complete
Availability Impact (A): Partial


Hivatkozások

CVE-2019-12819 - NVD CVE-2019-12819
https://tools.cisco.com/security/center/viewAlert.x?alertId=60336
https://nvd.nist.gov/vuln/detail/CVE-2019-12819