PT-2020-5268 · Linux+3 · Linux Kernel+3
Richard Palethorpe
·
Publicado
2020-04-01
·
Atualizado
2022-04-29
·
CVE-2020-11494
CVSS v2.0
4.6
Média
| Vetor | AV:L/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux 3.16 a 5.6.2
Descrição
Uma falha no kernel do Linux permite que invasores leiam dados can frame não inicializados, que podem conter informações confidenciais da memória da pilha do kernel, caso a configuração não inclua CONFIG INIT STACK ALL. Essa falha está relacionada à função slc bump no arquivo drivers/net/can/slcan.c. A exploração dessa falha pode permitir que um invasor obtenha acesso não autorizado a informações protegidas.
Recomendações
Para as versões do kernel Linux 3.16 a 5.6.2, considere atualizar para uma versão que inclua as alterações de configuração necessárias para mitigar esta vulnerabilidade, como habilitar CONFIG INIT STACK ALL. Como solução temporária, considere restringir o acesso à função slc bump em drivers/net/can/slcan.c para minimizar o risco de exploração.
Correção
Use of Uninitialized Resource
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Linux Kernel
Suse
Ubuntu