Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-04621

Опубликовано: 24 фев. 2025
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость функции input_event() модуля drivers/hid/hid-appleir.c ядра операционной системы Linux связана с разыменованием указателей. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
АО «ИВК»
Red Hat Inc.
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Альт 8 СП
Red Hat Enterprise Linux
Linux
ОСОН ОСнова Оnyx

Версия ПО

12 (Debian GNU/Linux)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
от 5.10 до 5.10.235 (Linux)
от 6.13 до 6.13.7 (Linux)
от 5.15 до 5.15.179 (Linux)
от 6.1 до 6.1.131 (Linux)
от 6.6 до 6.6.83 (Linux)
от 6.12 до 6.12.19 (Linux)
от 3.10 до 5.4.291 (Linux)
от 6.14 до 6.14 rc6 (Linux)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 12
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9
Сообщество свободного программного обеспечения Linux от 5.10 до 5.10.235
Сообщество свободного программного обеспечения Linux от 6.13 до 6.13.7
Сообщество свободного программного обеспечения Linux от 5.15 до 5.15.179
Сообщество свободного программного обеспечения Linux от 6.1 до 6.1.131
Сообщество свободного программного обеспечения Linux от 6.6 до 6.6.83
Сообщество свободного программного обеспечения Linux от 6.12 до 6.12.19
Сообщество свободного программного обеспечения Linux от 3.10 до 5.4.291
Сообщество свободного программного обеспечения Linux от 6.14 до 6.14 rc6
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Linux:
https://lore.kernel.org/linux-cve-announce/2025040136-CVE-2025-21948-cbbb@gregkh/
https://git.kernel.org/stable/c/0df1ac8ee417ad76760ff076faa4518a4d861894
https://git.kernel.org/stable/c/2ff5baa9b5275e3acafdf7f2089f74cccb2f38d1
https://git.kernel.org/stable/c/68cdf6710f228dfd74f66ec61fbe636da2646a73
https://git.kernel.org/stable/c/6db423b00940b05df2a1265d3c7eabafe9f1734c
https://git.kernel.org/stable/c/8d39eb8c5e14f2f0f441eed832ef8a7b654e6fee
https://git.kernel.org/stable/c/b1d95d733cd6e74f595653daddcfc357bea461e8
https://git.kernel.org/stable/c/d335fce8b88b2353f4bb20c631698e20384e3610
https://git.kernel.org/stable/c/fc69e2c3219d433caabba4b5d6371ba726a4b37f
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-21948
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2025-21948
Компенсирующие меры:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Обновление программного обеспечения linux до версии 6.6.90-0.osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00031
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-21948

CVSS3: 5.5
ubuntu
4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: HID: appleir: Fix potential NULL dereference at raw event handle Syzkaller reports a NULL pointer dereference issue in input_event(). BUG: KASAN: null-ptr-deref in instrument_atomic_read include/linux/instrumented.h:68 [inline] BUG: KASAN: null-ptr-deref in _test_bit include/asm-generic/bitops/instrumented-non-atomic.h:141 [inline] BUG: KASAN: null-ptr-deref in is_event_supported drivers/input/input.c:67 [inline] BUG: KASAN: null-ptr-deref in input_event+0x42/0xa0 drivers/input/input.c:395 Read of size 8 at addr 0000000000000028 by task syz-executor199/2949 CPU: 0 UID: 0 PID: 2949 Comm: syz-executor199 Not tainted 6.13.0-rc4-syzkaller-00076-gf097a36ef88d #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 Call Trace: <IRQ> __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x116/0x1f0 lib/dump_stack.c:120 kasan_report+0xd9/0x110 mm/kasan/report.c:602 check_region_in...

redhat логотип

CVE-2025-21948

CVSS3: 5.5
redhat
4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: HID: appleir: Fix potential NULL dereference at raw event handle Syzkaller reports a NULL pointer dereference issue in input_event(). BUG: KASAN: null-ptr-deref in instrument_atomic_read include/linux/instrumented.h:68 [inline] BUG: KASAN: null-ptr-deref in _test_bit include/asm-generic/bitops/instrumented-non-atomic.h:141 [inline] BUG: KASAN: null-ptr-deref in is_event_supported drivers/input/input.c:67 [inline] BUG: KASAN: null-ptr-deref in input_event+0x42/0xa0 drivers/input/input.c:395 Read of size 8 at addr 0000000000000028 by task syz-executor199/2949 CPU: 0 UID: 0 PID: 2949 Comm: syz-executor199 Not tainted 6.13.0-rc4-syzkaller-00076-gf097a36ef88d #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 Call Trace: <IRQ> __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x116/0x1f0 lib/dump_stack.c:120 kasan_report+0xd9/0x110 mm/kasan/report.c:602 check_region_inline...

nvd логотип

CVE-2025-21948

CVSS3: 5.5
nvd
4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: HID: appleir: Fix potential NULL dereference at raw event handle Syzkaller reports a NULL pointer dereference issue in input_event(). BUG: KASAN: null-ptr-deref in instrument_atomic_read include/linux/instrumented.h:68 [inline] BUG: KASAN: null-ptr-deref in _test_bit include/asm-generic/bitops/instrumented-non-atomic.h:141 [inline] BUG: KASAN: null-ptr-deref in is_event_supported drivers/input/input.c:67 [inline] BUG: KASAN: null-ptr-deref in input_event+0x42/0xa0 drivers/input/input.c:395 Read of size 8 at addr 0000000000000028 by task syz-executor199/2949 CPU: 0 UID: 0 PID: 2949 Comm: syz-executor199 Not tainted 6.13.0-rc4-syzkaller-00076-gf097a36ef88d #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 Call Trace: <IRQ> __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x116/0x1f0 lib/dump_stack.c:120 kasan_report+0xd9/0x110 mm/kasan/report.c:602 check_region_

msrc логотип

CVE-2025-21948

CVSS3: 5.5
msrc
3 месяца назад

Описание отсутствует

debian логотип

CVE-2025-21948

CVSS3: 5.5
debian
4 месяца назад

In the Linux kernel, the following vulnerability has been resolved: H ...

EPSS

Процентиль: 7%
0.00031
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2