PT-2022-6531 · Google+4 · Android Kernel+4

Publicado

2022-11-08

Atualizado

2023-08-08

CVE-2022-20572

CVSS v2.0

Alta

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Kernel do Android

Descrição

O problema está relacionado à ausência de uma verificação de permissão no verity target do arquivo dm-verity-target.c, o que poderia permitir a modificação de arquivos somente leitura. Isso poderia levar à escalada de privilégios local, sendo necessários privilégios de execução do sistema. Não é necessária a interação do usuário para a exploração.

Recomendações

Para o kernel do Android, considere aplicar um patch do kernel upstream para corrigir a falta de verificação de permissão no verity target do dm-verity-target.c.

Como solução alternativa temporária, considere restringir o acesso à função verity target até que um patch esteja disponível.

Correção

Incorrect Authorization

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-862

Identificadores relacionados

BDU:2023-02113

CESA-2022_7444

CESA-2022_7683

CVE-2022-20572

OESA-2022-2160

OESA-2022-2161

OESA-2022-2162

RHSA-2022:7444

RHSA-2022:7683

RHSA-2022:7933

RHSA-2022:8267

RHSA-2022_7444

RHSA-2022_7683

RHSA-2022_7933

RHSA-2022_8267

USN-6001-1

USN-6013-1

USN-6014-1

Produtos afetados

Android Kernel

Astra Linux

Centos

Red Hat

Ubuntu

PT-2022-6531 · Google+4 · Android Kernel+4

CVE-2022-20572

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 102