CVE-2024-53150

Linux Kernel

ВЕРОЯТНОСТЬ 1.1%
Дата обнаружения

2025-04-09

Официальное описание

Linux Kernel contains an out-of-bounds read vulnerability in the USB-audio driver that allows a local, privileged attacker to obtain potentially sensitive information.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-53150 представляет собой уязвимость чтения за пределами границ (out-of-bounds read) в драйвере USB-audio ядра Linux. Проблема локализована в механизме обработки дескрипторов аудио-интерфейсов.

При получении специально сформированных дескрипторов от USB-устройства драйвер некорректно проверяет границы буфера при чтении конфигурационных данных. Локальный злоумышленник с привилегиями (например, имеющий доступ к физическим USB-портам или права на манипуляцию USB-устройствами через эмуляцию) может спровоцировать чтение конфиденциальных данных из памяти ядра. Это может привести к раскрытию адресов памяти (обход KASLR) или утечке чувствительной информации из соседних структур данных.

Как исправить

Основным способом устранения является обновление ядра Linux до версии, в которой включен соответствующий патч (исправление внесено в ветки 6.12, 6.11.y, 6.6.y и другие LTS-релизы в конце 2024 года).

  1. Обновите список пакетов и установите последние обновления безопасности для вашего дистрибутива:
sudo apt update && sudo apt upgrade
  1. Если вы используете RHEL/CentOS/Fedora:
sudo dnf update kernel
  1. После обновления необходимо перезагрузить систему для инициализации нового ядра:
sudo reboot
  1. Проверьте версию ядра после перезагрузки, чтобы убедиться, что исправление применено (версия должна быть выше даты обнаружения уязвимости или содержать бэкпорт патча от вендора):
uname -r

Временные меры

Если немедленное обновление ядра невозможно, рекомендуется ограничить вектор атаки следующими способами:

  1. Отключите неиспользуемые USB-аудио драйверы, добавив их в черный список (blacklist). Это предотвратит автоматическую загрузку уязвимого модуля при подключении устройств:
echo "blacklist snd-usb-audio" | sudo tee /etc/modprobe.d/disable-usb-audio.conf
  1. Выгрузите модуль из оперативной памяти, если он уже загружен (внимание: это отключит все USB-звуковые карты):
sudo modprobe -r snd-usb-audio
  1. Используйте авторизацию USB-устройств (USBGuard), чтобы разрешить подключение только доверенных периферийных устройств:
sudo usbguard generate-policy > /etc/usbguard/rules.conf
  1. Ограничьте физический доступ к USB-портам сервера для предотвращения подключения вредоносных USB-устройств.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей