阿里云漏洞库

中危 drivers/net/can/usb/peak_usb/pcan_usb_fd.cdriver中由恶意USB设备引起的信息泄漏错误

CVE编号

CVE-2019-19535

利用情况

暂无

补丁情况

没有补丁

披露时间

2019-12-04

漏洞描述

在5.2.9之前的Linux内核中，drivers/net/can/usb/peak_usb/pcan_usb_fd.c driver（也称为CID-30a8beeb3042）中存在恶意USB设备引起的信息泄漏错误。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=30a8beeb3042f49d0537b7050fd21b490166a3d9

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00021.html
http://www.openwall.com/lists/oss-security/2019/12/03/4
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.2.9
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id...
https://lists.debian.org/debian-lts-announce/2020/03/msg00001.html
https://www.oracle.com/security-alerts/cpuApr2021.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	debian_10	linux	*		Up to (excluding) 4.19.67-1
	运行在以下环境
	系统	debian_11	linux	*		Up to (excluding) 5.2.9-1
	运行在以下环境
	系统	debian_12	linux	*		Up to (excluding) 5.2.9-1
	运行在以下环境
	系统	debian_8	linux-4.9	*		Up to (excluding) 4.9.144-3.1~deb8u1
	运行在以下环境
	系统	debian_9	linux	*		Up to (excluding) 4.9.210-1
	运行在以下环境
	系统	linux	linux_kernel	*		Up to (excluding) 5.2.9
	运行在以下环境
	系统	opensuse_Leap_15.1	kernel	*		Up to (excluding) 4.12.14-lp151.28.40.1
	运行在以下环境
	系统	oracle_6	kernel	*		Up to (excluding) 4.1.12-124.42.3.el7uek
	运行在以下环境
	系统	oracle_7	kernel	*		Up to (excluding) 4.1.12-124.42.3.el7uek
	运行在以下环境
	系统	suse_12_SP4	kernel	*		Up to (excluding) 4.12.14-6.34.1
	运行在以下环境
	系统	suse_12_SP5	kernel	*		Up to (excluding) 4.12.14-16.7.1
	运行在以下环境
	系统	ubuntu_16.04	linux	*		Up to (excluding) 4.15.0-1051.53~16.04.1
	运行在以下环境
	系统	ubuntu_18.04	linux	*		Up to (excluding) 4.15.0-1065.72

攻击路径

本地
攻击复杂度

容易
权限要求

普通权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

没有补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-200	信息暴露
CWE-908	对未经初始化资源的使用
CWE-909	资源初始化缺失