PT-2022-6553 · Linux+7 · Linux Kernel+7
Publicado
2022-05-31
·
Atualizado
2023-08-14
·
CVE-2022-2503
CVSS v3.1
6.9
Média
| Vetor | AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado à função
verity ctr() no módulo drivers/md/dm-verity-target.c do subsistema device-mapper do kernel do Linux. Ela permite que um invasor com privilégios de administrador contorne as restrições do subsistema LoadPin e carregue módulos do kernel ou firmware não confiáveis, substituindo o alvo por um alvo dm-linear equivalente. Isso pode levar à execução arbitrária do kernel e à persistência em periféricos que não verificam atualizações de firmware.Recomendações
Recomendamos atualizar para um commit posterior ao
4caae58406f8ceb741603eee460d79bacca9b1b5 para resolver o problema. Como solução alternativa temporária, considere restringir o uso do alvo dm-verity para minimizar o risco de exploração. Além disso, restrinja o acesso ao alvo dm-linear para impedir que a verificação do subsistema LoadPin seja contornada.Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Centos
Linuxmint
Linux Kernel
Red Hat
Suse
Ubuntu