PT-2022-21938 · U-Boot+5 · U-Boot+5

Tatsuhiko Yasumatsu

·

Publicado

2021-04-07

·

Atualizado

2025-05-01

·

CVE-2022-33967

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do U-Boot da v2020.10-rc2 à v2022.07-rc5
Descrição
A implementação do sistema de arquivos squashfs no U-Boot contém uma vulnerabilidade de estouro de buffer baseada em heap devido a um defeito no processo de leitura de metadados. Isso pode ser desencadeado pelo carregamento de uma imagem squashfs especialmente criada, levando potencialmente a uma condição de negação de serviço (DoS) ou à execução de código arbitrário.
Recomendações
Para as versões do U-Boot da v2020.10-rc2 à v2022.07-rc5, considere desativar a implementação do sistema de arquivos squashfs até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao carregamento de imagens squashfs para minimizar o risco de execução de código arbitrário ou condições de negação de serviço. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

DoS

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

ALT-PU-2021-1610
ALT-PU-2022-2236
CVE-2022-33967
DLA-4150-1
OESA-2022-1800
OPENSUSE-SU-2022_2653-1
OPENSUSE-SU-2022_2661-1
SUSE-SU-2022:2653-1
SUSE-SU-2022:2661-1
SUSE-SU-2022_2653-1
SUSE-SU-2022_2661-1
USN-5764-1

Produtos afetados

Alt Linux
Debian
Linuxmint
Suse
U-Boot
Ubuntu