Nieprawidłowa inicjalizacja w sterowniku trybu jądra Linux dla wybranych kontrolerów i adapterów sieciowych Intel Ethernet (przed wersją 28.3) umożliwia uwierzytelnionemu użytkownikowi lokalnemu eskalację uprawnień. Podatność otrzymała ocenę CVSS 9.3, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
Improper initialization in the Linux kernel mode driver for some Intel(R) Ethernet Network Controllers and Adapters before version 28.3 may allow an authenticated user to potentially enable escalation of privilege via local access.
Błąd polega na nieprawidłowej inicjalizacji (CWE-665) w sterowniku jądra Linux obsługującym wybrane kontrolery i adaptery Intel Ethernet. Niepoprawna inicjalizacja może prowadzić do nieodpowiedniego zarządzania uprawnieniami (CWE-269), co lokalny, uwierzytelniony użytkownik może wykorzystać do uzyskania podwyższonych uprawnień w systemie. Atak wymaga dostępu lokalnego, ale nie wymaga interakcji ze strony innych użytkowników ani szczególnych warunków wstępnych poza podstawowym kontem użytkownika.
Uwierzytelniony lokalny użytkownik może uzyskać privilege escalation, potencjalnie przejmując pełną kontrolę nad systemem operacyjnym oraz wpływając na bezpieczeństwo i dostępność środowiska, w którym działa podatny sterownik.
Należy zaktualizować sterownik dla kontrolerów i adapterów sieciowych Intel Ethernet do wersji 28.3 lub nowszej. Szczegółowe informacje o dostępnych patchach znajdują się w oficjalnym komunikacie bezpieczeństwa Intel: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00918.html
Sterownik trybu jądra Linux dla wybranych kontrolerów i adapterów sieciowych Intel Ethernet w wersjach wcześniejszych niż 28.3.
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X