美國網(wǎng)絡(luò)安全機(jī)構(gòu)更新已知漏洞清單

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）近日將兩個(gè)Linux內(nèi)核漏洞（編號分別為CVE-2024-53197和CVE-2024-53150）列入其已知被利用漏洞（KEV）目錄。

漏洞技術(shù)細(xì)節(jié)分析

CVE-2024-53197漏洞（CVSS評分為7.8）存在于Linux內(nèi)核的ALSA USB音頻驅(qū)動中，主要影響Extigy和Mbox設(shè)備。該漏洞源于對USB配置數(shù)據(jù)的錯(cuò)誤處理，可能導(dǎo)致內(nèi)存越界訪問。具體而言，問題涉及連接USB設(shè)備提供的bNumConfigurations字段。如果該值設(shè)置高于內(nèi)存中分配的配置空間，后續(xù)內(nèi)核操作與該數(shù)據(jù)交互時(shí)可能訪問超出預(yù)定范圍的內(nèi)存，存在內(nèi)存損壞或系統(tǒng)不穩(wěn)定的風(fēng)險(xiǎn)。目前該漏洞已通過在使用前驗(yàn)證配置計(jì)數(shù)得到修復(fù)，確保內(nèi)核不會訪問分配區(qū)域之外的內(nèi)存。

CVE-2024-53150漏洞（CVSS評分同為7.8）同樣存在于Linux內(nèi)核的ALSA USB音頻驅(qū)動中。該驅(qū)動在遍歷過程中未能驗(yàn)證USB音頻時(shí)鐘描述符中的bLength字段。這一疏漏使得惡意或配置錯(cuò)誤的USB設(shè)備可以提供bLength短于預(yù)期的描述符，可能導(dǎo)致越界讀取。

聯(lián)邦機(jī)構(gòu)修復(fù)要求

根據(jù)《降低已知被利用漏洞重大風(fēng)險(xiǎn)的第22-01號約束性操作指令》（BOD 22-01），聯(lián)邦民事行政部門（FCEB）機(jī)構(gòu)必須在規(guī)定期限內(nèi)修復(fù)這些已識別的漏洞，以保護(hù)其網(wǎng)絡(luò)免受利用目錄中漏洞的攻擊。CISA要求聯(lián)邦機(jī)構(gòu)在2025年4月30日前修復(fù)這些漏洞。

專家建議

網(wǎng)絡(luò)安全專家同時(shí)建議私營機(jī)構(gòu)也應(yīng)當(dāng)審查該漏洞目錄，并及時(shí)修復(fù)其基礎(chǔ)設(shè)施中的相關(guān)漏洞。

本周，CISA還將Gladinet CentreStack和ZTA Microsoft Windows通用日志文件系統(tǒng)（CLFS）驅(qū)動漏洞（編號分別為CVE-2025-30406和CVE-2025-29824）列入了已知被利用漏洞目錄。