美国 CISA 将 Linux 内核漏洞列入已知被利用漏洞目录

美国网络安全机构更新已知漏洞清单

美国网络安全和基础设施安全局（CISA）近日将两个Linux内核漏洞（编号分别为CVE-2024-53197和CVE-2024-53150）列入其已知被利用漏洞（KEV）目录 。美国

漏洞技术细节分析

CVE-2024-53197漏洞（CVSS评分为7.8）存在于Linux内核的内核ALSA USB音频驱动中，主要影响Extigy和Mbox设备 。漏洞列入录该漏洞源于对USB配置数据的已知用漏错误处理，可能导致内存越界访问  。亿华云被利具体而言
，洞目问题涉及连接USB设备提供的美国bNumConfigurations字段。如果该值设置高于内存中分配的内核配置空间 ，后续内核操作与该数据交互时可能访问超出预定范围的云计算漏洞列入录内存，存在内存损坏或系统不稳定的已知用漏风险
。目前该漏洞已通过在使用前验证配置计数得到修复，被利确保内核不会访问分配区域之外的洞目内存  。源码下载

CVE-2024-53150漏洞（CVSS评分同为7.8）同样存在于Linux内核的美国ALSA USB音频驱动中。该驱动在遍历过程中未能验证USB音频时钟描述符中的内核bLength字段
 。这一疏漏使得恶意或配置错误的漏洞列入录USB设备可以提供bLength短于预期的模板下载描述符
，可能导致越界读取 。

联邦机构修复要求

根据《降低已知被利用漏洞重大风险的第22-01号约束性操作指令》（BOD 22-01）
，联邦民事行政部门（FCEB）机构必须在规定期限内修复这些已识别的漏洞，源码库以保护其网络免受利用目录中漏洞的攻击
。CISA要求联邦机构在2025年4月30日前修复这些漏洞 。

专家建议

网络安全专家同时建议私营机构也应当审查该漏洞目录，并及时修复其基础设施中的相关漏洞
。建站模板

本周，CISA还将Gladinet CentreStack和ZTA Microsoft Windows通用日志文件系统（CLFS）驱动漏洞（编号分别为CVE-2025-30406和CVE-2025-29824）列入了已知被利用漏洞目录。