PT-2020-5253 · Linux+4 · Linux Kernel+4
Kyungtae Kim
·
Publicado
2020-05-15
·
Atualizado
2025-03-21
·
CVE-2020-13143
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux 3.16 a 5.6.13
Descrição
O problema está relacionado à função
gadget dev desc UDC store no arquivo drivers/usb/gadget/configfs.c do kernel Linux. Ela depende da função kstrdup sem considerar a possibilidade de um valor interno 0, permitindo que invasores provoquem uma leitura fora dos limites. Isso pode potencialmente levar a uma negação de serviço.Recomendações
Para as versões do kernel Linux 3.16 a 5.6.13, considere desativar a função
gadget dev desc UDC store como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo configfs.c para minimizar o risco de exploração. Evite usar a função kstrdup no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Linux Kernel
Suse
Ubuntu