Linux Kernel __mdiobus_register() funkció szolgáltatás megtagadásos sérülékenysége
Angol cím: Linux Kernel __mdiobus_register() Function Denial of Service Vulnerability
CH azonosító: CH-14599
Publikálás dátuma: 2019.06.17.
Utolsó módosítás dátuma: 2019.06.17.
Leírás
Magas kockázati besorolású sérülékenység vált ismertté a Linux kernelben, amelyet kihasználva a helyi felhasználók szolgáltatás megtagadásos állapotot (DoS) idézhetnek elő a célrendszerben.
Leírás forrása: Egyéb referencia: nvd.nist.govElemzés leírás
A hiba az érintett szoftverekben található drivers/net/phy/mdio_bus.c fájlban lévő __mdiobus_register() funkció hibájából alakul ki. A támadók ezt a hibát a rendszerbe történő autentikálást követően egy rossz indulatú bemeneti paramétereket átadó program futtatásának segítségével használhatják ki.
A sikeres támadás egy use-after-free állapotot idéz elő a ixed_mdio_bus_init() funkcióban, amelynek eredményeképp szolgáltatás megtagadásos állapot lép fel a rendszerben. A hiba tesztelésére exploit (Proof of Concept) is publikálásra került.
Megoldás: Frissítsen a legfrissebb verzióra.
Érintett Verziók: A nagy számú érintettség miatt a verziók listája az alábbi linken található meg.
Linkek: https://tools.cisco.com/security/center/viewAlert.x?alertId=60336
Elemzés leírás forrása: Egyéb referencia: tools.cisco.comHatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 7.1 (Magas)
Vektor: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H/E:P/RL:O/RC:C
Hatás pontszáma:
Kihasználhatóság pontszáma:
Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):
CVSS2 Súlyosság és Metrika
Alap pontszám: 5.5 (Közepes)
Vektor: AV:L/AC:L/Au:M/C:P/I:C/A:P/E:POC/RL:OF/RC:C/CDP:N/TD:N/CR:L/IR:M/AR:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:
Hozzáférés Vektora (AV): Helyi
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Rész
Sértetlenség Hatása (S): Teljes
Rendelkezésre állás Hatása (A): Rész
Hivatkozások
CVE-2019-12819 - NVD CVE-2019-12819
https://tools.cisco.com/security/center/viewAlert.x?alertId=60336
https://nvd.nist.gov/vuln/detail/CVE-2019-12819