免费扫描
分析待定CVE-2025-71286

CVE-2025-71286: 内存分配错误 in SOF (Sound Open Firmware)

平台

linux

组件

sof

修复版本

a653820700b81c9e6f05ac23b7969ecec1a18e85

在NVD查看
保存

CVE-2025-71286 描述了 Linux 内核中 SOF (Sound Open Firmware) 的一个内存分配错误。该错误源于 ipc4-topology 函数中 bytes 控制数据的分配大小计算不正确,可能导致内存溢出或拒绝服务。此漏洞影响 SOF 版本 ≤a653820700b81c9e6f05ac23b7969ecec1a18e85,已在版本 a653820700b81c9e6f05ac23b7969ecec1a18e85 中修复。

影响与攻击场景

该漏洞允许攻击者通过精心构造的音频数据触发内存分配错误。攻击者可能利用此漏洞导致 SOF 组件崩溃,从而导致拒绝服务。更严重的后果是,如果攻击者能够控制分配的内存大小,则可能导致内存损坏,进而可能执行任意代码。虽然目前没有公开的利用代码,但该漏洞的潜在影响不容忽视,尤其是在 SOF 组件被用于处理不受信任的音频输入的情况下。此漏洞的严重程度取决于 SOF 组件在系统中的权限和作用,以及攻击者是否能够控制音频输入。

利用背景

目前,该漏洞没有被列入 KEV,EPSS 评分尚未确定。尚未发现公开的利用代码,但由于该漏洞可能导致拒绝服务或内存损坏,因此需要密切关注。该漏洞于 2026-05-06 公布,建议尽快采取缓解措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO

EPSS

0.02% (7% 百分位)

受影响的软件

组件sof
供应商Linux
最高版本a653820700b81c9e6f05ac23b7969ecec1a18e85
修复版本a653820700b81c9e6f05ac23b7969ecec1a18e85

时间线

  1. 发布日期
  2. 修改日期
  3. EPSS 更新日期

缓解措施和替代方案

缓解此漏洞的首要措施是升级到已修复的版本 a653820700b81c9e6f05ac23b7969ecec1a18e85。如果无法立即升级,可以考虑限制 SOF 组件处理的音频输入来源,只允许来自受信任的设备。此外,可以配置防火墙或网络策略,阻止来自不受信任来源的音频数据包到达 SOF 组件。虽然没有特定的 WAF 或代理规则,但可以监控 SOF 组件的日志,查找异常的内存分配或崩溃事件。升级后,请确认 SOF 组件正常运行,并检查系统日志中是否有任何错误或警告。

修复方法翻译中…

Actualice el kernel de Linux a la versión 6.6.1 o posterior para corregir la asignación de memoria incorrecta en el controlador SOF. Esta actualización aborda un posible desbordamiento de búfer al asignar memoria para controles de bytes, mejorando la seguridad y la estabilidad del sistema.

常见问题

什么是 CVE-2025-71286 — 内存分配错误 in SOF (Sound Open Firmware)?

CVE-2025-71286 是 Linux 内核中 SOF (Sound Open Firmware) 的一个漏洞,由于 ipc4-topology 函数中内存分配大小计算错误,可能导致拒绝服务或潜在的内存损坏。影响版本 ≤a653820700b81c9e6f05ac23b7969ecec1a18e85。

我是否受到 CVE-2025-71286 in SOF (Sound Open Firmware) 的影响?

如果您正在运行 SOF 版本 ≤a653820700b81c9e6f05ac23b7969ecec1a18e85 的 Linux 系统,则可能受到此漏洞的影响。请尽快升级到已修复的版本。

如何修复 CVE-2025-71286 in SOF (Sound Open Firmware)?

修复此漏洞的最佳方法是升级到已修复的版本 a653820700b81c9e6f05ac23b7969ecec1a18e85。如果无法立即升级,请考虑限制音频输入来源。

CVE-2025-71286 是否正在被积极利用?

目前尚未发现 CVE-2025-71286 正在被积极利用,但由于该漏洞的潜在影响,建议密切关注。

在哪里可以找到官方 SOF (Sound Open Firmware) 关于 CVE-2025-71286 的公告?

请查阅 Linux 内核的安全公告以及相关 SOF 项目的官方文档,以获取有关 CVE-2025-71286 的更多信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...