मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2025-71286

CVE-2025-71286: Memory Allocation Bug in SOF Firmware

प्लेटफ़ॉर्म

linux

घटक

sof

में ठीक किया गया

a653820700b81c9e6f05ac23b7969ecec1a18e85

NVD पर देखें
सहेजें

CVE-2025-71286 addresses a memory allocation issue within the SOF (Sound Open Firmware) component of the Linux kernel. This vulnerability stems from an incorrect calculation of the required memory size for bytes controls within the ipc4-topology module, potentially leading to a denial-of-service condition. The vulnerability impacts Linux kernel versions up to and including a653820700b81c9e6f05ac23b7969ecec1a18e85, and a fix is available in version a653820700b81c9e6f05ac23b7969ecec1a18e85.

प्रभाव और हमले की स्थितियाँ

CVE-2025-71286 लिनक्स कर्नेल के ASoC (एडवांस्ड साउंड आर्किटेक्चर) सबसिस्टम को प्रभावित करता है, विशेष रूप से SOF (साउंड ओपन फर्मवेयर) कंट्रोलर और इसका ipc4-टोपोलॉजी मॉड्यूल। समस्या बाइट कंट्रोल के लिए मेमोरी एलोकेशन के आकार में गलत है। scontrol->ipccontroldata के लिए आवंटित मेमोरी की मात्रा अपर्याप्त थी, जिससे बफर ओवरफ्लो हो सकता है। यह बफर ओवरफ्लो एक हमलावर को ऑडियो डिवाइस तक पहुंच प्राप्त करने और आवंटित मेमोरी सीमाओं से परे लिखने की अनुमति दे सकता है, जिससे संभावित रूप से सिस्टम अखंडता से समझौता हो सकता है या मनमाना कोड निष्पादन सक्षम हो सकता है। इस भेद्यता की गंभीरता हमलावर के विशेषाधिकारों और सिस्टम कॉन्फ़िगरेशन पर निर्भर करती है, लेकिन उन वातावरणों में महत्वपूर्ण हो सकती है जहां ऑडियो डिवाइस का उपयोग संवेदनशील डेटा इनपुट या आउटपुट के लिए किया जाता है।

शोषण संदर्भ

CVE-2025-71286 का शोषण करने के लिए ऑडियो डिवाइस तक पहुंच और बफर ओवरफ्लो को ट्रिगर करने वाले दुर्भावनापूर्ण कमांड भेजने की क्षमता की आवश्यकता होती है। एक हमलावर ऑडियो डिवाइस के साथ इंटरैक्ट करने के लिए आवश्यक अनुमतियों वाले उपयोगकर्ता प्रोग्राम के माध्यम से या सिस्टम संसाधनों को समाप्त करने वाले सेवा से इनकार (DoS) हमले के माध्यम से इसे प्राप्त कर सकता है। शोषण की जटिलता सिस्टम कॉन्फ़िगरेशन और लागू सुरक्षा उपायों पर निर्भर करेगी। वर्तमान में, इस भेद्यता का वास्तविक दुनिया में सक्रिय रूप से शोषण किया जा रहा है, यह दिखाने वाला कोई सार्वजनिक जानकारी नहीं है, लेकिन इसके संभावित प्रभाव को देखते हुए, सुधार को तुरंत लागू करने की सिफारिश की जाती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO

EPSS

0.02% (7% शतमक)

प्रभावित सॉफ्टवेयर

घटकsof
विक्रेताLinux
अधिकतम संस्करणa653820700b81c9e6f05ac23b7969ecec1a18e85
में ठीक किया गयाa653820700b81c9e6f05ac23b7969ecec1a18e85

समयरेखा

  1. प्रकाशित
  2. संशोधित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2025-71286 को ठीक करने में SOF कंट्रोलर के ipc4-टोपोलॉजी मॉड्यूल के भीतर बाइट कंट्रोल के लिए मेमोरी आवंटित करने वाले फ़ंक्शन में एक सुधार शामिल है। यह सुधार यह सुनिश्चित करता है कि sofipc4controldata संरचना, ABI हेडर (sofabi_hdr) और पेलोड के आकार को ध्यान में रखते हुए उचित मात्रा में मेमोरी आवंटित की जाती है। पैच a653820700b81c9e6f05ac23b7969ecec1a18e85 युक्त कर्नेल अपडेट को लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, ऑडियो डिवाइस के साथ इंटरैक्ट करने वाले प्रक्रियाओं को दिए गए विशेषाधिकारों को कम करने के लिए सिस्टम कॉन्फ़िगरेशन की समीक्षा करने की सलाह दी जाती है। ऑडियो सबसिस्टम से संबंधित असामान्य घटनाओं के लिए सिस्टम लॉग की निगरानी भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकती है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el kernel de Linux a la versión 6.6.1 o posterior para corregir la asignación de memoria incorrecta en el controlador SOF. Esta actualización aborda un posible desbordamiento de búfer al asignar memoria para controles de bytes, mejorando la seguridad y la estabilidad del sistema.

अक्सर पूछे जाने वाले सवाल

CVE-2025-71286 क्या है — SOF (Sound Open Firmware) में?

ASoC (एडवांस्ड साउंड आर्किटेक्चर) लिनक्स कर्नेल में ऑडियो डिवाइस के लिए एक एब्स्ट्रैक्शन लेयर प्रदान करने वाला एक बुनियादी ढांचा है।

क्या मैं SOF (Sound Open Firmware) में CVE-2025-71286 से प्रभावित हूं?

SOF (साउंड ओपन फर्मवेयर) एक ओपन-सोर्स ऑडियो फ्रेमवर्क है जो ऑडियो ड्राइवरों को लागू करने का एक लचीला और कॉन्फ़िगर करने योग्य तरीका प्रदान करता है।

SOF (Sound Open Firmware) में CVE-2025-71286 को कैसे ठीक करें?

आप अपने लिनक्स कर्नेल संस्करण की जांच करके जांच सकते हैं कि आपका सिस्टम कमजोर है या नहीं। यदि आप एक संस्करण का उपयोग कर रहे हैं जिसमें पैच a653820700b81c9e6f05ac23b7969ecec1a18e85 शामिल नहीं है, तो आप कमजोर हैं।

क्या CVE-2025-71286 का सक्रिय रूप से शोषण किया जा रहा है?

इस भेद्यता के लिए कोई ज्ञात वर्कअराउंड नहीं है। पैच को लागू करना अनुशंसित समाधान है।

CVE-2025-71286 के लिए SOF (Sound Open Firmware) का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

यदि आपको संदेह है कि आपके सिस्टम से समझौता किया गया है, तो आपको इसे नेटवर्क से अलग करना चाहिए, फोरेंसिक विश्लेषण करना चाहिए और कर्नेल पैच को लागू करना चाहिए।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...