遠端主機上安裝的核心版本早於 4.14.296-222.539。因此，會受到 ALAS2-2022-1876 公告中所提及的多個弱點影響。

  - 在 Linux 核心中發現一個弱點。目前已將其歸類為「有問題」。此弱點會影響 BPF 元件中 drivers/net/usb/r8152.c 檔案的 intr_callback 函式。利用此弱點可造成程式記錄過量資料。攻擊者可在遠端執行此攻擊。建議套用修補程式以修正此問題。此弱點的相關識別碼是 VDB-211363。
    (CVE-2022-3594)

  - 在 Linux 核心中發現一個弱點。目前已將其歸類為「有問題」。這會影響 nilfs2 元件中 fs/nilfs2/inode.c 檔案的 nilfs_bmap_lookup_at_level 函式 。操控此弱點可導致 Null 指標解除參照。攻擊者可從遠端發動攻擊。建議套用修補程式以修正此問題。此弱點的相關識別碼是 VDB-211920。(CVE-2022-3621)

  - 在 Linux 核心中發現一個歸類爲「有問題」的弱點。這會影響 BPF 元件中 fs/nilfs2/segment.c 檔案的 nilfs_attach_log_writer 函式。操控此弱點可導致記憶體洩漏。攻擊者可從遠端發起攻擊。建議套用修補程式以修正此問題。已爲此弱點指派識別碼 VDB-211961。(CVE-2022-3646)

  - 在 Linux 核心中發現一個弱點。目前已將其歸類為「有問題」。這會影響 BPF 元件中 fs/nilfs2/inode.c 檔案的 nilfs_new_inode 函式 。操控此弱點可導致釋放後使用。攻擊者可從遠端發動攻擊。建議套用修補程式以修正此問題。
    此弱點的相關識別碼是 VDB-211992。(CVE-2022-3649)

  - 在 5.19 版之前的 Linux 核心中發現一個問題。在 drivers/video/fbdev/pxa3xx-gcu.c 的 pxa3xx_gcu_write 中，count 參數存在 size_t 與 int 類型沖突，這會導致整數溢位和繞過大小檢查。之後，因為它會作為 copy_from_user() 的第三個引數使用，所以可能引致堆積溢位。(CVE-2022-39842)

  - 在 Linux 核心 5.19.9 版及其之前的所有版本中，因為 stex_queuecommand_lck 缺少適用於 PASSTHRU_CMD 的 memset，drivers/scsi/stex.c 允許本機使用者從核心記憶體取得敏感資訊。
    (CVE-2022-40768)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

Amazon Linux 2：核心 (ALAS-2022-1876)

critical Nessus Plugin ID 168366

版本 1.4

版本 1.3

版本 1.2

版本 1.4 Jan 24, 2023, 9:21 AM Regenerated based on advisory update
版本 1.3 Dec 5, 2022, 4:19 PM CVSS metrics ("CVSSv2 score" changed from "5.0" to "10.0") CVSS metrics ("CVSSv2 vector" changed from "CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N" to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSSv2 score source (changed from "CVE-2022-40768" to "CVE-2022-3649") CVSSv2 severity (based on CVE-2022-3649, severity increased from "Medium" to "High")
版本 1.2 Dec 2, 2022, 9:49 PM New