PT-2020-2224 · Linux+2 · Linux Kernel+2
Tom Hatskevich
·
Publicado
2020-01-15
·
Atualizado
2021-05-28
·
CVE-2020-12652
CVSS v2.0
6.0
Média
| Vetor | AV:L/AC:H/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 5.4.14
Descrição
O problema está relacionado à função
mptctl ioctl em drivers/message/fusion/mptctl.c e envolve erros de sincronização ao usar um recurso compartilhado. Isso pode levar a uma condição de corrida, especificamente uma vulnerabilidade de “double fetch”, permitindo que um invasor comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. O fornecedor observa que o impacto na segurança é limitado, pois as operações afetadas são privilegiadas e o usuário root já possui um poder destrutivo significativo.Recomendações
Para versões do kernel Linux anteriores à 5.4.14, atualize para a versão 5.4.14 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função
mptctl ioctl para minimizar o risco de exploração.Correção
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Linux Kernel
Suse