検出

Linux Distros のパッチ未適用の脆弱性: CVE-2023-53558

critical Nessus プラグイン ID 269414

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - rcu-taskscblist_init_generic() でのスピンロック付きの pr_info() が、ロックされた rtp->cbs_gbl_lock スピンロックで呼び出されます。pr_info() はスリープの可能性がある printk() を呼び出すため、以下のようなバグが発生します [ 0.206455] cblist_init_genericコールバックキューの数を調整可能。 [ 0.206463] [ 0.2064640.206464] ======================================================================================================== 0.2064655.19.0-00428-g9de1f9c8ca51 #5 汚染されていない [ 0.206466] --------------------------------- 0.206466] swapper/0/1 がロックしようとしています: [ 0.206467] fffffffa0167a58&port_lock_key){...}-{3:3}, at
 serial8250_console_write+0x327/0x4a0 [ 0.206473] デバッグに役立つその他の情報 [ 0.206473] context-{5:5} [ 0.206474] swapper/0/1 により保持される 3 つのロック [ 0.206474] #0: ffffffff9eb597e0 rcu_tasks.cbs_gbl_lock{....}-{2:2}, at: cblist_init_generic.constprop.0+0x14/0x1f0 [ 0.206478] #1
 ffffffff9eb579c0console_lock{+.+.}-{0:0}, at: _printk+0x63/0x7e [ 0.206482] #2ffffffff9ea77780 (console_owner){...}-{0:0}, at: console_emit_next_record. constprop.0+0x111/0x330 [ 0.206485] stack backtrace[ 0.206486] CPU: 0 PID: 1 Comm: swapper/0 Not taint 5.19.0-00428-g9de1f9c8ca51 #50.206488] ハードウェア名: QEMU Standard PC i440FX + PIIX、1996、BIOS 1.16.0-1.fc36 04/01/2014 [ 0.206489] 呼び出しトレース[ 0.206490] <TASK> [] 0.206491] 、dump_stack_lvl+0x6a/0x9f [ 0.206493、 ] __lock_acquire.cold +0x2d7/0x2fe [ 0.206496] ? stack_trace_save+0x46/0x70 [ 0.206497] lock_acquire+0xd1/0x2f0 [ 0.206499] ? serial8250_console_write+0x327/0x4a0 [ 0.206500] ? __lock_acquire+0x5c7/0x2720 [ 0.206502]
 _raw_spin_lock_irqsave+0x3d/0x90 [ 0.206504] ? serial8250_console_write+0x327/0x4a0 [ 0.206506] serial8250_console_write+0x327/0x4a0 [ 0.206508] console_emit_next_record.constprop.0+0x180/0x3300.206511[ ] console_unlock+0xf7/0x1f0 [ 0.206512] vprintk_emit+0xf7/0x330 [[]_k 0.206514 ] +0x63/0x7e [0.206516] cblist_init_generic.constprop.0.cold+0x24/0x32 [ 0.206518] rcu_init_tasks_generic+0x5/0xd9 [0.206522] kernel_init_freeable+0x15b/0x2a2 [ 0.206523] ? rest_init+0x160/0x160 [ 0.206526] kernel_init+0x11/0x120 [ 0.206527] ret_from_fork+0x1f/0x30 [ 0.206530] </TASK> [ 0.207018] cblist_init_generic1 へのシフトおよび 1 への lim を設定します。このパッチは pr_info() を移動します。 rtp->cbs_gbl_lock なしで呼び出されるようにします。CVE-2023-53558

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2023-53558

プラグインの詳細

深刻度: Critical

ID: 269414

ファイル名: unpatched_CVE_2023_53558.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2025/10/8

更新日: 2025/10/8

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2023-53558

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2025/10/4

参照情報

CVE: CVE-2023-53558