美国网络安全机构更新已知漏洞清单

美国网络安全和基础设施安全局（CISA）近日将两个Linux内核漏洞（编号分别为CVE-2024-53197和CVE-2024-53150）列入其已知被利用漏洞（KEV）目录。

漏洞技术细节分析

CVE-2024-53197漏洞（CVSS评分为7.8）存在于Linux内核的ALSA USB音频驱动中，主要影响Extigy和Mbox设备。该漏洞源于对USB配置数据的错误处理，可能导致内存越界访问。具体而言，问题涉及连接USB设备提供的bNumConfigurations字段。如果该值设置高于内存中分配的配置空间，后续内核操作与该数据交互时可能访问超出预定范围的内存，存在内存损坏或系统不稳定的风险。目前该漏洞已通过在使用前验证配置计数得到修复，确保内核不会访问分配区域之外的内存。

CVE-2024-53150漏洞（CVSS评分同为7.8）同样存在于Linux内核的ALSA USB音频驱动中。该驱动在遍历过程中未能验证USB音频时钟描述符中的bLength字段。这一疏漏使得恶意或配置错误的USB设备可以提供bLength短于预期的描述符，可能导致越界读取。

联邦机构修复要求

根据《降低已知被利用漏洞重大风险的第22-01号约束性操作指令》（BOD 22-01），联邦民事行政部门（FCEB）机构必须在规定期限内修复这些已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。CISA要求联邦机构在2025年4月30日前修复这些漏洞。

专家建议

网络安全专家同时建议私营机构也应当审查该漏洞目录，并及时修复其基础设施中的相关漏洞。

本周，CISA还将Gladinet CentreStack和ZTA Microsoft Windows通用日志文件系统（CLFS）驱动漏洞（编号分别为CVE-2025-30406和CVE-2025-29824）列入了已知被利用漏洞目录。

参考来源：

U.S. CISA adds Linux Kernel flaws to its Known Exploited Vulnerabilities catalog

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）