Nínú ẹ̀rọ USB Gadget, ẹ̀rọ kernel subsystem kan wà LinuxA ti ṣàwárí àìlera kan (CVE-2021-39685) nínú USB Gadget API, èyí tí ó ń pèsè ìfọwọ́sowọ́pọ̀ sọ́fítíwè fún ṣíṣẹ̀dá àwọn ẹ̀rọ USB oníbàárà àti ṣíṣe àfarawé àwọn ẹ̀rọ USB. Àìlera yìí lè yọrí sí jíjáde ìwífún kernel, ìjamba, tàbí ìṣiṣẹ́ kódì láìròtẹ́lẹ̀ ní ìpele kernel. Olùlò agbègbè tí kò ní àǹfààní ni ó ń ṣe ìkọlù náà nípa lílo onírúurú ẹ̀rọ tí a fi sori ẹ̀rọ nípa lílo USB Gadget API, bíi rndis, hid, uac1, uac1_legacy, àti uac2.
A ti ṣe atunṣe iṣoro naa ninu awọn imudojuiwọn kernel ti a tẹjade laipẹ. Linux 5.15.8, 5.10.85, 5.4.165, 4.19.221, 4.14.258, 4.9.293 àti 4.4.295. Iṣoro naa ko tii yanju ninu awọn pinpin naa (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch). A ti ṣe àgbékalẹ̀ ìlò àwòkọ́ṣe láti fi àìlera náà hàn.
Iṣoro naa jẹ nitori aponsedanu ifipamọ ni awọn olutọju ibeere gbigbe data ni awọn awakọ irinṣẹ rndis, pamọ, uac1, uac1_legacy ati uac2. Bi abajade ti ilokulo ailagbara naa, ikọlu ti ko ni anfani le ni iraye si iranti ekuro nipa fifiranṣẹ ibeere iṣakoso pataki kan pẹlu iye aaye aaye wLength ti o kọja iwọn ifipamọ aimi, eyiti 4096 awọn baiti jẹ ipin nigbagbogbo (USB_COMP_EP0_BUFSIZ). Lakoko ikọlu, ilana ti ko ni anfani ni aaye olumulo le ka tabi kọ to 65 KB ti data sinu iranti ekuro.
orisun: opennet.ru
