Vulnerabilidad en función wcd9335_codec_enable_dec en el archivo sound/soc/codecs/wcd9335.c en el kernel de Linux (CVE-2019-12454)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/05/2019
Última modificación:
05/08/2024
Descripción
** EN DISPUTA ** Se detecto un problema en la función wcd9335_codec_enable_dec en el archivo sound/soc/codecs/wcd9335.c en el kernel de Linux hasta la versión 5.1.5. Se usa kstrndup en lugar de kmemdup_nul, lo que permite a los atacantes tener un impacto no especificado a través de vectores desconocidos. NOTA: El proveedor niega que esto no sea una vulnerabilidad porque cambiar a kmemdup_nul() solo solucionaría un problema de seguridad si la cadena de origen no estaba NUL-terminated, lo cual no es el caso.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.1.5 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.suse.com/show_bug.cgi?id=1136963#c1
- https://git.kernel.org/pub/scm/linux/kernel/git/broonie/sound.git/commit/?h=for-5.3&id=a54988113985ca22e414e132054f234fc8a92604
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/J36BIJTKEPUOZKJNHQBUZA47RQONUKOI/
- https://lkml.org/lkml/2019/5/29/705
- https://support.f5.com/csp/article/K13523672
- https://support.f5.com/csp/article/K13523672?utm_source=f5support&%3Butm_medium=RSS