美國網絡安全機構更新已知漏洞清單

美國網絡安全和基礎設施安全局（CISA）近日將兩個Linux內核漏洞（編號分別為CVE-2024-53197和CVE-2024-53150）列入其已知被利用漏洞（KEV）目錄。

漏洞技術細節分析

CVE-2024-53197漏洞（CVSS評分為7.8）存在于Linux內核的ALSA USB音頻驅動中，主要影響Extigy和Mbox設備。該漏洞源于對USB配置數據的錯誤處理，可能導致內存越界訪問。具體而言，問題涉及連接USB設備提供的bNumConfigurations字段。如果該值設置高于內存中分配的配置空間，后續內核操作與該數據交互時可能訪問超出預定范圍的內存，存在內存損壞或系統不穩定的風險。目前該漏洞已通過在使用前驗證配置計數得到修復，確保內核不會訪問分配區域之外的內存。

CVE-2024-53150漏洞（CVSS評分同為7.8）同樣存在于Linux內核的ALSA USB音頻驅動中。該驅動在遍歷過程中未能驗證USB音頻時鐘描述符中的bLength字段。這一疏漏使得惡意或配置錯誤的USB設備可以提供bLength短于預期的描述符，可能導致越界讀取。

聯邦機構修復要求

根據《降低已知被利用漏洞重大風險的第22-01號約束性操作指令》（BOD 22-01），聯邦民事行政部門（FCEB）機構必須在規定期限內修復這些已識別的漏洞，以保護其網絡免受利用目錄中漏洞的攻擊。CISA要求聯邦機構在2025年4月30日前修復這些漏洞。

專家建議

網絡安全專家同時建議私營機構也應當審查該漏洞目錄，并及時修復其基礎設施中的相關漏洞。

本周，CISA還將Gladinet CentreStack和ZTA Microsoft Windows通用日志文件系統（CLFS）驅動漏洞（編號分別為CVE-2025-30406和CVE-2025-29824）列入了已知被利用漏洞目錄。