Linux Kernel __mdiobus_register() funkció szolgáltatás megtagadásos sérülékenysége

CH azonosító: CH-14599
Cím: Linux Kernel __mdiobus_register() funkció szolgáltatás megtagadásos sérülékenysége
Angol cím: Linux Kernel __mdiobus_register() Function Denial of Service Vulnerability

Publikálás dátuma: 2019.06.17.
Utolsó módosítás dátuma: 2019.06.17.


Leírás

Magas kockázati besorolású sérülékenység vált ismertté a Linux kernelben, amelyet kihasználva a helyi felhasználók szolgáltatás megtagadásos állapotot (DoS) idézhetnek elő a célrendszerben.


Leírás forrása: Egyéb referencia: nvd.nist.gov


Elemzés leírás

A hiba az érintett szoftverekben található drivers/net/phy/mdio_bus.c fájlban lévő __mdiobus_register() funkció hibájából alakul ki. A támadók ezt a hibát a rendszerbe történő autentikálást követően egy rossz indulatú bemeneti paramétereket átadó program futtatásának segítségével használhatják ki.

A sikeres támadás egy use-after-free állapotot idéz elő a ixed_mdio_bus_init() funkcióban, amelynek eredményeképp szolgáltatás megtagadásos állapot lép fel a rendszerben. A hiba tesztelésére exploit (Proof of Concept) is publikálásra került.

Megoldás: Frissítsen a legfrissebb verzióra.

Érintett Verziók: A nagy számú érintettség miatt a verziók listája az alábbi linken található meg.

Linkek: https://tools.cisco.com/security/center/viewAlert.x?alertId=60336


Elemzés leírás forrása: Egyéb referencia: tools.cisco.com


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7.1 (Magas)
Vektor: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H/E:P/RL:O/RC:C
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: 5.5 (Közepes)
Vektor: AV:L/AC:L/Au:M/C:P/I:C/A:P/E:POC/RL:OF/RC:C/CDP:N/TD:N/CR:L/IR:M/AR:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:


Hozzáférés Vektora (AV): Helyi
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Rész
Sértetlenség Hatása (S): Teljes
Rendelkezésre állás Hatása (A): Rész


Hivatkozások

CVE-2019-12819 - NVD CVE-2019-12819
https://tools.cisco.com/security/center/viewAlert.x?alertId=60336
https://nvd.nist.gov/vuln/detail/CVE-2019-12819