免费扫描
分析待定CVE-2025-71286

CVE-2025-71286: Memory Allocation Bug in SOF Firmware

平台

linux

组件

sof

修复版本

a653820700b81c9e6f05ac23b7969ecec1a18e85

在NVD查看
保存

CVE-2025-71286 addresses a memory allocation issue within the SOF (Sound Open Firmware) component of the Linux kernel. This vulnerability stems from an incorrect calculation of the required memory size for bytes controls within the ipc4-topology module, potentially leading to a denial-of-service condition. The vulnerability impacts Linux kernel versions up to and including a653820700b81c9e6f05ac23b7969ecec1a18e85, and a fix is available in version a653820700b81c9e6f05ac23b7969ecec1a18e85.

影响与攻击场景

CVE-2025-71286 影响 Linux 内核的 ASoC (Advanced Sound Architecture) 子系统,特别是 SOF (Sound Open Firmware) 控制器及其 ipc4-topology 模块。问题在于字节控制的内存分配大小不正确。为 scontrol->ipccontroldata 分配的内存量不足,可能导致缓冲区溢出。此缓冲区溢出可能允许攻击者通过访问音频设备在分配的内存边界之外写入数据,从而可能损害系统完整性或启用任意代码执行。此漏洞的严重程度取决于攻击者的权限和系统配置,但在音频设备用于敏感数据输入或输出的环境中,可能具有重要意义。

利用背景

利用 CVE-2025-71286 需要访问音频设备以及发送触发缓冲区溢出的恶意命令的能力。攻击者可以通过具有与音频设备交互权限的用户程序或通过耗尽系统资源的拒绝服务 (DoS) 攻击来实现此目的。利用的复杂性将取决于系统配置和实施的安全措施。目前没有公开信息表明该漏洞已在野外被积极利用,但其潜在影响 warrants 及时应用修复。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO

EPSS

0.02% (7% 百分位)

受影响的软件

组件sof
供应商Linux
最高版本a653820700b81c9e6f05ac23b7969ecec1a18e85
修复版本a653820700b81c9e6f05ac23b7969ecec1a18e85

时间线

  1. 发布日期
  2. 修改日期
  3. EPSS 更新日期

缓解措施和替代方案

CVE-2025-71286 的修复涉及 SOF 控制器的 ipc4-topology 模块中用于字节控制的内存分配函数的修正。此修正可确保分配适当数量的内存,同时考虑 sofipc4controldata 结构、ABI 头 (sofabi_hdr) 和有效负载的大小。强烈建议应用包含补丁 a653820700b81c9e6f05ac23b7969ecec1a18e85 的内核更新。此外,建议审查系统配置,以尽量减少与音频设备交互的进程的权限。监控系统日志中与音频子系统相关的异常事件也有助于检测潜在的利用尝试。

修复方法翻译中…

Actualice el kernel de Linux a la versión 6.6.1 o posterior para corregir la asignación de memoria incorrecta en el controlador SOF. Esta actualización aborda un posible desbordamiento de búfer al asignar memoria para controles de bytes, mejorando la seguridad y la estabilidad del sistema.

常见问题

CVE-2025-71286 是什么 — SOF (Sound Open Firmware) 中的漏洞?

ASoC (Advanced Sound Architecture) 是 Linux 内核中为音频设备提供抽象层的基础设施。

SOF (Sound Open Firmware) 中的 CVE-2025-71286 是否会影响我?

SOF (Sound Open Firmware) 是一个开源音频框架,提供了一种灵活且可配置的方式来实现音频驱动程序。

如何修复 SOF (Sound Open Firmware) 中的 CVE-2025-71286?

您可以检查 Linux 内核版本来检查您的系统是否容易受到攻击。如果您使用的是包含补丁 a653820700b81c9e6f05ac23b7969ecec1a18e85 之前的版本,则容易受到攻击。

CVE-2025-71286 是否正在被积极利用?

此漏洞没有已知的解决方法。应用补丁是推荐的解决方案。

在哪里可以找到 SOF (Sound Open Firmware) 关于 CVE-2025-71286 的官方安全通告?

如果您怀疑您的系统已被破坏,您应该将其从网络隔离,进行法医分析并应用内核修复。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...