PT-2022-2364 · Libinput+11 · Libinput+11

Albin Eldstål-Ahrens

+1

·

Publicado

2022-04-20

·

Atualizado

2024-04-04

·

CVE-2022-1215

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
libinput versão 1.20.1
Descrição
Foi encontrada uma vulnerabilidade de string de formato no libinput, relacionada ao uso de strings de formato não controladas na função evdev log msg. Essa vulnerabilidade pode ser explorada para executar código arbitrário com privilégios elevados, particularmente quando o servidor X é executado com privilégios de root. O problema afeta ambientes baseados em X.Org e Wayland e pode ser explorado por meio de conexões de dispositivos locais ou manipulações com dispositivos Bluetooth.
Recomendações
Para a versão 1.20.1 da libinput, considere atualizar para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, restrinja o acesso à função evdev log msg para minimizar o risco de exploração. Evite usar a função evdev log msg nos pontos de extremidade da API afetados até que o problema seja resolvido.

Correção

Use of Externally-Controlled Format String

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-134

Identificadores relacionados

ALSA-2022:5257
ALT-PU-2021-4844
ALT-PU-2021-4845
ALT-PU-2022-1732
ALT-PU-2022-1738
ALT-PU-2022-1752
ALT-PU-2022-3182
ALT-PU-2022-7644
AZL-9861
BDU:2022-02695
CESA-2022_5331
CVE-2022-1215
MGASA-2022-0150
OESA-2022-1709
OPENSUSE-SU-2022_1305-1
OPENSUSE-SU-2024:12023-1
RHSA-2022:5257
RHSA-2022:5331
RHSA-2022_5257
RHSA-2022_5331
RLSA-2022:5257
RLSA-2022:5331
SUSE-SU-2022:1305-1
SUSE-SU-2022_1305-1
USN-5382-1
USN-5382-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libinput