PT-2021-2461 · Linux+3 · Linux Kernel+3

Publicado

2021-03-14

·

Atualizado

2023-02-24

·

CVE-2021-29266

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 5.11.9
Descrição
Uma falha no kernel Linux está relacionada a um erro de uso após liberação (use-after-free) na função vhost vdpa config put(). Isso ocorre porque v->config ctx apresenta um valor inválido quando um dispositivo de caracteres é reaberto. A exploração dessa vulnerabilidade pode permitir que um invasor cause uma negação de serviço.
Recomendações
Para versões do kernel Linux anteriores à 5.11.9, atualize para a versão 5.11.9 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao módulo drivers/vhost/vdpa.c para minimizar o risco de exploração.

Exploit

Correção

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALT-PU-2021-1566
ALT-PU-2021-1578
ALT-PU-2021-1609
ALT-PU-2021-1616
ALT-PU-2021-1618
ALT-PU-2021-1869
AZL-6548
BDU:2021-01827
CVE-2021-29266
MGASA-2021-0174
MGASA-2021-0175
USN-4948-1
USN-4949-1

Produtos afetados

Alt Linux
Linuxmint
Linux Kernel
Ubuntu