Linux · Linux Kernel · CVE-2022-48919
**Nome do software vulnerável e versões afetadas**
Versões do kernel Linux anteriores à 5.17.0-rc3+
**Descrição**
A vulnerabilidade está relacionada a uma condição de corrida de liberação dupla no componente cifs do kernel do Linux. Quando cifs get root() falha durante cifs smb3 do mount(), o kernel chama deactivate locked super(), que eventualmente chama delayed free() para liberar o contexto. No entanto, nessa situação, o kernel não deve prosseguir para a seção de saída em cifs smb3 do mount() e liberar os mesmos recursos uma segunda vez. Essa vulnerabilidade pode ser explorada para comprometer a confidencialidade, integridade e disponibilidade de informações protegidas.
**Recomendações**
Para resolver este problema, atualize o kernel do Linux para uma versão que inclua a correção para esta vulnerabilidade. Especificamente, devem ser utilizadas as versões 5.17.0-rc3 e posteriores.
Observação: as informações fornecidas não especificam a versão exata em que a correção está incluída, mas é mencionado que o problema está resolvido na versão 5.17.0-rc3+. Portanto, a atualização para esta versão ou posterior deve mitigar a vulnerabilidade.
Se a atualização não for possível, considere implementar medidas de segurança adicionais para minimizar o risco de exploração, como restringir o acesso ao componente cifs ou monitorar atividades suspeitas. No entanto, essas medidas não substituem a atualização do kernel para uma versão corrigida.
No momento, não há informações sobre outras versões que contenham uma correção para esta vulnerabilidade.