CWE-455 · Отсутствие завершения работы при сбое инициализации

CWE-455БазаЧерновик

Абстракция: База

Статус: Черновик

Отсутствие завершения работы при сбое инициализации

Продукт не завершает работу и иным образом не изменяет своё функционирование при возникновении значимых для безопасности ошибок в процессе инициализации — например, при неверном формате конфигурационного файла или невозможности активировать аппаратный модуль безопасности (HSM), — что может привести к работе продукта в менее защищённом режиме, чем предусмотрено администратором.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2022-48864В ядре Linux устранена следующая уязвимость: vdpa/mlx5: добавить проверку для команды VIRTIO_NET_CTRL_MQ_VQ_PAIRS_SET. Когда control vq получает запрос команды VIRTIO_NET_CTRL_MQ_VQ_PAIRS_SET от драйвера, в настоящее время нет проверки количества пар очередей для настройки или даже того, было ли согласовано multiqueue или нет, не проверено. Это может привести к панике ядра из-за неинициализированного ресурса для очередей, если какой-либо поддельный запрос был отправлен ненадежным драйвером. Свяжите концы с концами.

CVE-2021-47143В ядре Linux устранена следующая уязвимость: net/smc: удалить устройство из smcd_dev_list после неудачного device_add(). Если device_add() для smcd_dev завершается неудачно, отсутствует шаг очистки, который откатывает более ранний list_add(). Устройство впоследствии освобождается, и мы получаем поврежденный список. Добавлена обработка ошибок, которая удаляет устройство из списка.

CVE-2022-4662Обнаружена ошибка некорректного контроля доступа в подсистеме ядра Linux USB core в том, как пользователь подключает USB-устройство. Локальный пользователь может использовать эту ошибку для аварийного завершения работы системы.