一、 漏洞 CVE-2023-53708 基础信息
漏洞信息
# ACPI x86 s2idle 多个PACKAGE对象漏洞
### 概述
在 Linux 内核中,ACPI 子系统存在一个内存泄漏漏洞。该问题出现在处理 AMD LPS0 _DSM 方法时,若固件返回多个 `ACPI_TYPE_PACKAGE` 对象,内核未能正确处理,导致内存泄漏。
### 影响版本
未明确提及具体受影响版本,但漏洞涉及 x86 架构下的 ACPI s2idle(Suspend-to-Idle)处理模块。
### 细节
LPS0 _DSM 方法用于支持低功耗空闲状态管理(如 suspend-to-idle)。在评估此方法时,内核原本假设固件只会返回一个有效的 `ACPI_TYPE_PACKAGE` 对象。如果固件被恶意构造或存在错误,并返回多个 `ACPI_TYPE_PACKAGE` 对象,可能会导致后续处理错误,并引发内存泄漏。
### 影响
攻击者可通过构造恶意固件,在系统进入 s2idle 状态时触发内存泄漏,可能导致系统可用内存逐渐减少,进而影响稳定性或可用性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ACPI: x86: s2idle: Catch multiple ACPI_TYPE_PACKAGE objects
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In the Linux kernel, the following vulnerability has been resolved:
ACPI: x86: s2idle: Catch multiple ACPI_TYPE_PACKAGE objects
If a badly constructed firmware includes multiple `ACPI_TYPE_PACKAGE`
objects while evaluating the AMD LPS0 _DSM, there will be a memory
leak. Explicitly guard against this.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Linux kernel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux kernel存在安全漏洞,该漏洞源于未正确处理多个ACPI_TYPE_PACKAGE对象,可能导致内存泄漏。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-53708 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2023-53708 的情报信息
四、漏洞 CVE-2023-53708 的评论
暂无评论