CVE-2024-53104

Суть уязвимости

CVE-2024-53104 представляет собой критическую ошибку записи за пределами границ (out-of-bounds write) в драйвере USB Video Class (UVC), а именно в компоненте uvc_parse_streaming.

Проблема возникает при обработке дескрипторов USB-видеоустройств. Злоумышленник с физическим доступом может подключить специально подготовленное USB-устройство, которое передает некорректные параметры конфигурации потока. Из-за недостаточной проверки длины данных в коде ядра, драйвер записывает информацию в области памяти, не предназначенные для этого. Это приводит к повреждению памяти ядра, что может быть использовано для локального повышения привилегий (Escalation of Privilege) или вызова отказа в обслуживании (Kernel Panic).

Как исправить

Основным способом устранения является обновление ядра Linux до версии, в которой внесен патч, ограничивающий запись данных в буфер.

1. Обновите списки пакетов репозитория:

sudo apt update

1. Установите последние доступные обновления безопасности для ядра:

sudo apt upgrade linux-image-generic

1. Перезагрузите систему для применения изменений:

sudo reboot

1. Если вы используете специфическую ветку ядра, убедитесь, что установлена версия не ниже:
2. 6.11.7
3. 6.6.60
4. 6.1.116
5. 5.15.171
6. 5.10.230

Проверить текущую версию ядра можно командой:

uname -r

Временные меры

Если немедленное обновление ядра невозможно, необходимо ограничить возможность эксплуатации уязвимости путем отключения модуля UVC.

1. Выгрузите модуль uvcvideo из оперативной памяти:

sudo modprobe -r uvcvideo

1. Внесите модуль в черный список (blacklist), чтобы он не загружался автоматически при подключении USB-устройств:

echo "blacklist uvcvideo" | sudo tee /etc/modprobe.d/disable-uvc.conf

1. Ограничьте физический доступ к USB-портам сервера или критического узла, чтобы предотвратить подключение вредоносных устройств.

2. Используйте правила USBGuard для блокировки неавторизованных USB-видеоустройств (если сервис установлен):

sudo usbguard generate-policy > /etc/usbguard/rules.conf