美国网络安全机构更新已知漏洞清单

美国网络安全和基础设施安全局（CISA）近日将两个Linux内核漏洞（编号分别为CVE-2024-53197和CVE-2024-53150）列入其已知被利用漏洞（KEV）目录。

漏洞技术细节分析

CVE-2024-53197漏洞（CVSS评分为7.8）存在于Linux内核的ALSA USB音频驱动中，主要影响Extigy和Mbox设备。该漏洞源于对USB配置数据的错误处理，可能导致内存越界访问。具体而言，问题涉及连接USB设备提供的bNumConfigurations字段。如果该值设置高于内存中分配的配置空间，后续内核操作与该数据交互时可能访问超出预定范围的内存，存在内存损坏或系统不稳定的风险。目前该漏洞已通过在使用前验证配置计数得到修复，确保内核不会访问分配区域之外的内存。

CVE-2024-53150漏洞（CVSS评分同为7.8）同样存在于Linux内核的ALSA USB音频驱动中。该驱动在遍历过程中未能验证USB音频时钟描述符中的bLength字段。这一疏漏使得恶意或配置错误的USB设备可以提供bLength短于预期的描述符，可能导致越界读取。

联邦机构修复要求

根据《降低已知被利用漏洞重大风险的第22-01号约束性操作指令》（BOD 22-01），联邦民事行政部门（FCEB）机构必须在规定期限内修复这些已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。CISA要求联邦机构在2025年4月30日前修复这些漏洞。

专家建议

网络安全专家同时建议私营机构也应当审查该漏洞目录，并及时修复其基础设施中的相关漏洞。

本周，CISA还将Gladinet CentreStack和ZTA Microsoft Windows通用日志文件系统（CLFS）驱动漏洞（编号分别为CVE-2025-30406和CVE-2025-29824）列入了已知被利用漏洞目录。

参考来源：

U.S. CISA adds Linux Kernel flaws to its Known Exploited Vulnerabilities catalog