从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞类型:路径遍历(path traversal)。 - 影响范围:内核中的某些代码路径允许从设备或半特权用户空间传递字符串组件,这些组件可能包含路径分隔符(如 )。 2. 漏洞影响: - 代码路径:lpfc_sli4_request_firmware_update()、nfp_net_fw_find() 和 module_flash_fw_schedule()。 - 修复措施:通过拒绝包含 路径分隔符的固件文件名来修复。 3. 漏洞修复: - 修复代码:在drivers/base/firmware_loader/main.c文件中添加了新的代码,用于检查固件文件名是否包含 路径分隔符。 - 修复逻辑: - 这个函数检查固件文件名是否包含 或 路径分隔符。 - 如果包含,函数返回 ,固件加载将被拒绝。 4. 修复范围: - 文件:drivers/base/firmware_loader/main.c。 - 代码行数:增加了30行代码。 5. 修复影响: - 文件更改:1个文件,30行插入,0行删除。 - 修复范围:主要影响到固件加载模块。 6. 修复验证: - 代码审查:由Danilo Krumrich和Luis Chamberlain进行代码审查。 - 修复验证:由Jann Horn和Greg Kroah-Hartman进行验证。 通过这些信息,我们可以了解到这个漏洞是如何被发现和修复的,以及修复的具体细节和影响范围。