ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > 15 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™เป„เบ”เป€เบงเบต USB เบ—เบตเปˆเบชเบฐเปœเบญเบ‡เปƒเบซเป‰เบขเบนเปˆเปƒเบ™ Linux Kernel

15 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™เป„เบ”เป€เบงเบต USB เบ—เบตเปˆเบชเบฐเปœเบญเบ‡เปƒเบซเป‰เบขเบนเปˆเปƒเบ™ Linux Kernel

Andrey Konovalov เบˆเบฒเบ Google เบˆเบฑเบ”เบžเบตเบกเบกเบฒ เบฅเบฒเบเบ‡เบฒเบ™เบเบฒเบ™เบเปเบฒเบ™เบปเบ” 15 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ•เปเปˆเป„เบ› (CVE-2019-19523 - CVE-2019-19537) เปƒเบ™เป„เบ”เป€เบงเบต USB เบ—เบตเปˆเบชเบฐเป€เปœเบตเปƒเบซเป‰เบขเบนเปˆเปƒเบ™ Linux kernel. เบ™เบตเป‰เปเบกเปˆเบ™เบšเบฑเบ™เบซเบฒเบ—เบตเปˆเบชเบฒเบกเบ—เบตเปˆเบžเบปเบšเปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เบ—เบปเบ”เบชเบญเบš fuzz เบ‚เบญเบ‡ stack USB เปƒเบ™เบŠเบธเบ” syzkaller - เบ™เบฑเบโ€‹เบ„เบปเป‰เบ™โ€‹เบ„เบงเป‰เบฒโ€‹เบ—เบตเปˆโ€‹เป„เบ”เป‰โ€‹เบฎเบฑเบšโ€‹เปƒเบ™โ€‹เป€เบกเบทเปˆเบญโ€‹เบเปˆเบญเบ™โ€‹ เปเบฅเป‰เบง เปเบˆเป‰เบ‡เปƒเบซเป‰เบŠเบฒเบš เบเปˆเบฝเบงเบเบฑเบšเบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡ 29 เบˆเบธเบ”เบญเปˆเบญเบ™.

เป€เบงเบฅเบฒเบ™เบตเป‰เบšเบฑเบ™เบŠเบตเบฅเบฒเบเบŠเบทเปˆเบ›เบฐเบเบญเบšเบกเบตเบžเบฝเบ‡เปเบ•เปˆเบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเป€เบเบตเบ”เบˆเบฒเบเบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบžเบทเป‰เบ™เบ—เบตเปˆเบซเบ™เปˆเบงเบเบ„เบงเบฒเบกเบˆเปเบฒเบ—เบตเปˆเบ–เบทเบเบ›เบปเบ”เบ›เปˆเบญเบเปเบฅเป‰เบง (เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เบซเบผเบฑเบ‡เบˆเบฒเบเบšเปเปˆเป€เบชเบเบ„เปˆเบฒ) เบซเบผเบทเบ™เปเบฒเป„เบ›เบชเบนเปˆเบเบฒเบ™เบฎเบปเปˆเบงเป„เบซเบฅเบ‚เบญเบ‡เบ‚เปเป‰เบกเบนเบ™เบˆเบฒเบเบซเบ™เปˆเบงเบเบ„เบงเบฒเบกเบˆเปเบฒ kernel. เบšเบฑเบ™เบซเบฒเบ—เบตเปˆเบชเบฒเบกเบฒเบ”เปƒเบŠเป‰เป€เบžเบทเปˆเบญเป€เบฎเบฑเบ”เปƒเบซเป‰เป€เบเบตเบ”เบเบฒเบ™เบ›เบฐเบ•เบดเป€เบชเบ”เบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™เบšเปเปˆเป„เบ”เป‰เบฅเบงเบกเบขเบนเปˆเปƒเบ™เบšเบปเบ”เบฅเบฒเบเบ‡เบฒเบ™. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบชเบฒเบกเบฒเบ”เบ–เบทเบเบ‚เบนเบ”เบฎเบตเบ”เป€เบกเบทเปˆเบญเบญเบธเบ›เบฐเบเบญเบ™ USB เบ—เบตเปˆเบเบฝเบกเป„เบงเป‰เบžเบดเป€เบชเบ”เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบเบฑเบšเบ„เบญเบกเบžเบดเบงเป€เบ•เบต. เบเบฒเบ™เปเบเป‰เป„เบ‚เบชเปเบฒเบฅเบฑเบšเบ—เบธเบเบšเบฑเบ™เบซเบฒเบ—เบตเปˆเป„เบ”เป‰เบเปˆเบฒเบงเบกเบฒเปƒเบ™เบšเบปเบ”เบฅเบฒเบเบ‡เบฒเบ™เปเบกเปˆเบ™เบฅเบงเบกเบขเบนเปˆเปƒเบ™ kernel เปเบฅเป‰เบง, เปเบ•เปˆเบšเบฒเบ‡เบญเบฑเบ™เบšเปเปˆเป„เบ”เป‰เบฅเบงเบกเบขเบนเปˆเปƒเบ™เบšเบปเบ”เบฅเบฒเบเบ‡เบฒเบ™. เบ„เบงเบฒเบกเบœเบดเบ”เบžเบฒเบ” เบเบฑเบ‡เบšเปเปˆเป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เปเบเป‰เป„เบ‚.

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ—เบตเปˆเบชเบธเบ”เบ—เบตเปˆเบชเบฒเบกเบฒเบ”เบ™เปเบฒเป„เบ›เบชเบนเปˆเบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบฅเบฐเบซเบฑเบ”เบ‚เบญเบ‡เบœเบนเป‰เป‚เบˆเบกเบ•เบตเป„เบ”เป‰เบ–เบทเบเบเปเบฒเบˆเบฑเบ”เบขเบนเปˆเปƒเบ™เป„เบ”เป€เบงเบต adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb เปเบฅเบฐ yurex. CVE-2019-19532 เบเบฑเบ‡เบชเบฐเปเบ”เบ‡ 14 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™เป„เบ”เป€เบงเบต HID เบ—เบตเปˆเป€เบเบตเบ”เบˆเบฒเบเบ„เบงเบฒเบกเบœเบดเบ”เบžเบฒเบ”เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ‚เบฝเบ™เบญเบญเบเบ™เบญเบเบ‚เบญเบšเป€เบ‚เบ”. เบšเบฑเบ™เบซเบฒเป„เบ”เป‰เบ–เบทเบเบžเบปเบšเป€เบซเบฑเบ™เบขเบนเปˆเปƒเบ™เป„เบ”เป€เบงเบต ttusb_dec, pcan_usb_fd เปเบฅเบฐ pcan_usb_pro เบ—เบตเปˆเบ™เปเบฒเป„เบ›เบชเบนเปˆเบเบฒเบ™เบฎเบปเปˆเบงเป„เบซเบฅเบ‚เบญเบ‡เบ‚เปเป‰เบกเบนเบ™เบˆเบฒเบเบซเบ™เปˆเบงเบเบ„เบงเบฒเบกเบˆเปเบฒ kernel. เบšเบฑเบ™เบซเบฒ (CVE-2019-19537) เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบชเบฐเบžเบฒเบšเบเบฒเบ™เปเบ‚เปˆเบ‡เบ‚เบฑเบ™เป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธเป„เบงเป‰เปƒเบ™เบฅเบฐเบซเบฑเบ” stack USB เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเบเบฑเบšเบญเบธเบ›เบฐเบเบญเบ™เบ•เบปเบงเบญเบฑเบเบชเบญเบ™.

เบ—เปˆเบฒเบ™เบเบฑเบ‡เบชเบฒเบกเบฒเบ”เบชเบฑเบ‡เป€เบเบ”เป„เบ”เป‰
เบเบฒเบ™เบฅเบฐเบšเบธเบ•เบปเบงเบ•เบปเบ™ เบชเบตเปˆเบŠเปˆเบญเบ‡เป‚เบซเบงเปˆ (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901) เปƒเบ™เป„เบ”เป€เบงเบตเบชเปเบฒเบฅเบฑเบšเบŠเบดเบšเป„เบฎเป‰เบชเบฒเบ Marvell, เป€เบŠเบดเปˆเบ‡เบชเบฒเบกเบฒเบ”เบ™เปเบฒเป„เบ›เบชเบนเปˆเบเบฒเบ™ overflow buffer. เบเบฒเบ™เป‚เบˆเบกเบ•เบตเบชเบฒเบกเบฒเบ”เบ›เบฐเบ•เบดเบšเบฑเบ”เป„เบ”เป‰เบˆเบฒเบเป„เบฅเบเบฐเป„เบเป‚เบ”เบเบเบฒเบ™เบชเบปเปˆเบ‡เป€เบŸเบฃเบกเปƒเบ™เบšเบฒเบ‡เบงเบดเบ—เบต เป€เบกเบทเปˆเบญเป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบเบฑเบšเบˆเบธเบ”เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบฎเป‰เบชเบฒเบเบ‚เบญเบ‡เบœเบนเป‰เป‚เบˆเบกเบ•เบต. เป„เบžเบ‚เบปเปˆเบกเบ‚เบนเปˆเบ—เบตเปˆเป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบ—เบตเปˆเบชเบธเบ”เปเบกเปˆเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเป€เบชเบ”เบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™เบˆเบฒเบเป„เบฅเบเบฐเป„เบ (kernel crash), เปเบ•เปˆเบ„เบงเบฒเบกเป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบ‚เบญเบ‡เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบฅเบฐเบซเบฑเบ”เปƒเบ™เบฅเบฐเบšเบปเบšเบšเปเปˆเบชเบฒเบกเบฒเบ”เบ–เบทเบเบ›เบฐเบ•เบดเป€เบชเบ”.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™