Описание
Уязвимость функции uvc_parse_format() в модуле drivers/media/usb/uvc/uvc_driver.c драйвера USB Video Class (UVC) ядра операционной системы Linux связана с чтением памяти за пределами выделенного буфера. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор
Google Inc
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
АО «НТЦ ИТ РОСА»
АО "НППКТ"
Наименование ПО
Android
РЕД ОС
Astra Linux Special Edition
Linux
ROSA Virtualization 3.0
ОСОН ОСнова Оnyx
Версия ПО
- (Android)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.8 (Astra Linux Special Edition)
от 4.20 до 5.4.285 включительно (Linux)
от 5.5 до 5.10.229 включительно (Linux)
от 5.11 до 5.15.171 включительно (Linux)
от 6.2 до 6.6.60 включительно (Linux)
от 6.7 до 6.11.7 включительно (Linux)
от 5.16 до 6.1.116 включительно (Linux)
от 2.6.26 до 4.19.323 включительно (Linux)
6.12 (Linux)
3.0 (ROSA Virtualization 3.0)
до 2.12 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Google Inc Android -
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.285 включительно
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.229 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.171 включительно
Сообщество свободного программного обеспечения Linux от 6.2 до 6.6.60 включительно
Сообщество свободного программного обеспечения Linux от 6.7 до 6.11.7 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.116 включительно
Сообщество свободного программного обеспечения Linux от 2.6.26 до 4.19.323 включительно
Сообщество свободного программного обеспечения Linux 6.12
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://git.kernel.org/linus/ecf2b43018da9579842c774b7f35dbe11b5c38dd
https://git.kernel.org/stable/c/1ee9d9122801eb688783acd07791f2906b87cb4f
https://git.kernel.org/stable/c/467d84dc78c9abf6b217ada22b3fdba336262e29
https://git.kernel.org/stable/c/575a562f7a3ec2d54ff77ab6810e3fbceef2a91d
https://git.kernel.org/stable/c/622ad10aae5f5e03b7927ea95f7f32812f692bb5
https://git.kernel.org/stable/c/684022f81f128338fe3587ec967459669a1204ae
https://git.kernel.org/stable/c/95edf13a48e75dc2cc5b0bc57bf90d6948a22fe8
https://git.kernel.org/stable/c/beced2cb09b58c1243733f374c560a55382003d6
https://git.kernel.org/stable/c/ecf2b43018da9579842c774b7f35dbe11b5c38dd
https://git.kernel.org/stable/c/faff5bbb2762c44ec7426037b3000e77a11d6773
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.324
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.230
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.172
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.286
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.117
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.11.8
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.61
https://lore.kernel.org/linux-cve-announce/2024120232-CVE-2024-53104-d781@gregkh/
Для Android:
https://source.android.com/docs/security/bulletin/2025-02-01
https://android.googlesource.com/kernel/common/+/cd68103d98d36beb8eeab8051566b8f9b3d965d4
https://android.googlesource.com/kernel/common/+/96ad4e759ff4aaa24eb185500c0c28466ae5452a
Обновление программного обеспечения linux до версии 6.6.66-0.osnova2u1
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-kernel-lt-100425/?sphrase_id=897546
Для ОС Astra Linux:
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci29 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
- обновить пакет linux-6.6 до 6.12.11-1.astra1+ci18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2863
Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-5.15 до 5.15.0-142.astra1+ci172 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет linux-6.1 до 6.1.124-1.astra1+ci7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
- обновить пакет linux до 5.4.0-218.astra1+ci162 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.10 до 5.10.233-1.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-5.15 до 5.15.0-142.astra1+ci172 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет linux-6.1 до 6.1.124-1.astra2+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 93%
0.11358
Средний
7.8 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
12 месяцев назад
In the Linux kernel, the following vulnerability has been resolved: media: uvcvideo: Skip parsing frames of type UVC_VS_UNDEFINED in uvc_parse_format This can lead to out of bounds writes since frames of this type were not taken into account when calculating the size of the frames buffer in uvc_parse_streaming.
CVSS3: 7.3
redhat
12 месяцев назад
In the Linux kernel, the following vulnerability has been resolved: media: uvcvideo: Skip parsing frames of type UVC_VS_UNDEFINED in uvc_parse_format This can lead to out of bounds writes since frames of this type were not taken into account when calculating the size of the frames buffer in uvc_parse_streaming.
CVSS3: 7.8
nvd
12 месяцев назад
In the Linux kernel, the following vulnerability has been resolved: media: uvcvideo: Skip parsing frames of type UVC_VS_UNDEFINED in uvc_parse_format This can lead to out of bounds writes since frames of this type were not taken into account when calculating the size of the frames buffer in uvc_parse_streaming.
CVSS3: 7.8
debian
12 месяцев назад
In the Linux kernel, the following vulnerability has been resolved: m ...
EPSS
Процентиль: 93%
0.11358
Средний
7.8 High
CVSS3
6.8 Medium
CVSS2