Linux Kernel “CIFSTCon()” puffer túlcsordulásos sérülékenység – Nemzeti Kibervédelmi Intézet

NBSZ-NKI website

Linux Kernel “CIFSTCon()” puffer túlcsordulásos sérülékenység

2009. április 7. 22:00

CH azonosító

CH-2092

Felfedezés dátuma

2009.04.07.

Súlyosság

Érintett rendszerek

Érintett verziók

Linux Kernel 2.6.x

Összefoglaló

Sérülékenységet jelentettek a Linux kernelben, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

Sérülékenységet jelentettek a Linux kernelben, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

A sérülékenységet az fs/cifs/connect.c “CIFSTCon()” függvényében lévő határhiba okozza. Ez kihasználható puffer túlcsordulás előidézéséhez pl. a sérülékeny kliensnek küldött speciálisan elkészített Tree Connect válasszal.

Megoldás

Ne csatlakoztasson semmit nem megbízható CIFS szerverről!

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: git.kernel.org
Egyéb referencia: lists.samba.org
SECUNIA 34644

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-29824 – Microsoft Windows Common Log File System (CLFS) Driver Use-After-Free sérülékenysége

CVE-2025-31489 – MinIO sérülékenysége

CVE-2025-31161 – CrushFTP Authentication Bypass sebezhetősége

CVE-2025-2704 – OpenVPN sebezhetősége

CVE-2025-22457 – Ivanti Connect Secure, Policy Secure and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége

CVE-2025-30401 – WhatsApp for Windows sérülékenysége

CVE-2025-24228 – Apple sebezhetősége

CVE-2025-24097 – Apple sebezhetősége

CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége

Tovább a sérülékenységekhez »

Ugrás a tetejére