阿里云漏洞库

漏洞描述

MHI Ring Validation是Qualcomm的一个硬件引擎。 MHI Ring Validation 存在输入验证错误漏洞，该漏洞源于从主机内存中获取的环形上下文的不正确验证可能导致内存溢出。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://www.qualcomm.com/company/product-security/bulletins/november-2020-security-bulletin

参考链接
https://www.qualcomm.com/company/product-security/bulletins/november-2020-bulletin

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	libwebp	*		Up to (excluding) 0.3.0-10.1.al7
	运行在以下环境
	系统	alibaba_cloud_linux_3	libwebp	*		Up to (excluding) 1.0.0-3.1.al8
	运行在以下环境
	系统	alma_linux_8	kernel	*		Up to (excluding) 4.18.0-305.el8
	运行在以下环境
	系统	amazon_2	kernel	*		Up to (excluding) 4.14.268-205.500.amzn2
	运行在以下环境
	系统	amazon_AMI	kernel	*		Up to (excluding) 4.14.268-139.500.amzn1
	运行在以下环境
	系统	anolis_os_8	libwebp	*		Up to (excluding) 1.0.0-3
	运行在以下环境
	系统	centos_7	kernel	*		Up to (excluding) 3.10.0-1160.53.1.el7
	运行在以下环境
	系统	fedora_32	rls	*		Up to (excluding) 1.51.0-3.fc32
	运行在以下环境
	系统	fedora_33	rls	*		Up to (excluding) 1.51.0-3.fc33
	运行在以下环境
	系统	fedora_34	rls	*		Up to (excluding) 1.51.0-3.fc34
	运行在以下环境
	系统	fedora_EPEL_7	rls	*		Up to (excluding) 1.51.0-3.el7
	运行在以下环境
	系统	kylinos_aarch64_V10	libwebp	*		Up to (excluding) 0.3.0-10.el7_9
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.11.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	libwebp	*		Up to (excluding) 0.3.0-10.el7_9
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.11.v2101.ky10
	运行在以下环境
	系统	opensuse_Leap_15.2	kernel	*		Up to (excluding) 5.3.18-lp152.72.1
	运行在以下环境
	系统	opensuse_Leap_15.3	kernel	*		Up to (excluding) 5.3.18-38.3.1
	运行在以下环境
	系统	oracle_7	kernel	*		Up to (excluding) 4.14.35-2047.508.3.el7
	运行在以下环境
	系统	oracle_8	kernel	*		Up to (excluding) 4.18.0-305.el8
	运行在以下环境
	系统	qualcomm	qsm8350_firmware	-	-
	运行在以下环境
	系统	qualcomm	sc7180_firmware	-	-
	运行在以下环境
	系统	qualcomm	sdx55m_firmware	-	-
	运行在以下环境
	系统	qualcomm	sdx55_firmware	-	-
	运行在以下环境
	系统	qualcomm	sm6150_firmware	-	-
	运行在以下环境
	系统	qualcomm	sm6250p_firmware	-	-
	运行在以下环境
	系统	qualcomm	sm6250_firmware	-	-
	运行在以下环境
	系统	qualcomm	sm7125_firmware	-	-
	运行在以下环境
	系统	qualcomm	sm7150p_firmware	-	-
	运行在以下环境
	系统	qualcomm	sm7150_firmware	-	-
	运行在以下环境
	系统	qualcomm	sm7250p_firmware	-	-
	运行在以下环境
	系统	qualcomm	sm7250_firmware	-	-
	运行在以下环境
系统	qualcomm	sm8150p_firmware	-	-
运行在以下环境
系统	qualcomm	sm8150_firmware	-	-
运行在以下环境
系统	qualcomm	sm8250_firmware	-	-
运行在以下环境
系统	qualcomm	sm8350p_firmware	-	-
运行在以下环境
系统	qualcomm	sm8350_firmware	-	-
运行在以下环境
系统	qualcomm	sxr2130p_firmware	-	-
运行在以下环境
系统	qualcomm	sxr2130_firmware	-	-
运行在以下环境
系统	redhat_7	kernel	*		Up to (excluding) 3.10.0-1160.53.1.el7
运行在以下环境
系统	redhat_8	kernel	*		Up to (excluding) 4.18.0-305.el8
运行在以下环境
系统	rocky_linux_8	libwebp	*		Up to (excluding) 1.0.0-3.el8_4
运行在以下环境
系统	suse_12_SP5	kernel	*		Up to (excluding) 4.12.14-16.56.1
运行在以下环境
硬件	qualcomm	qsm8350	-	-
运行在以下环境
硬件	qualcomm	sc7180	-	-
运行在以下环境
硬件	qualcomm	sdx55	-	-
运行在以下环境
硬件	qualcomm	sdx55m	-	-
运行在以下环境
硬件	qualcomm	sm6150	-	-
运行在以下环境
硬件	qualcomm	sm6250	-	-
运行在以下环境
硬件	qualcomm	sm6250p	-	-
运行在以下环境
硬件	qualcomm	sm7125	-	-
运行在以下环境
硬件	qualcomm	sm7150	-	-
运行在以下环境
硬件	qualcomm	sm7150p	-	-
运行在以下环境
硬件	qualcomm	sm7250	-	-
运行在以下环境
硬件	qualcomm	sm7250p	-	-
运行在以下环境
硬件	qualcomm	sm8150	-	-
运行在以下环境
硬件	qualcomm	sm8150p	-	-
运行在以下环境
硬件	qualcomm	sm8250	-	-
运行在以下环境
硬件	qualcomm	sm8350	-	-
运行在以下环境
硬件	qualcomm	sm8350p	-	-
运行在以下环境
硬件	qualcomm	sxr2130	-	-
运行在以下环境
硬件	qualcomm	sxr2130p	-	-

攻击路径

本地
攻击复杂度

低
权限要求

低
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-129	对数组索引的验证不恰当

Qualcomm MHI Ring Validation输入验证错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况