PT-2021-8215 · Linux+3 · Linux Kernel+3
Syzbot
·
Publicado
2021-12-13
·
Atualizado
2024-12-18
·
CVE-2021-47594
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 5.16.0-rc4-syzkaller
Descrição
A vulnerabilidade está relacionada ao componente MPTCP no kernel do Linux, o que pode causar uma desreferência de ponteiro NULL ao excluir um endpoint. Isso pode levar a uma falha de proteção geral e, potencialmente, permitir que um invasor cause uma negação de serviço. O problema ocorre quando o PM do netlink percorre todos os soquetes MPTCP locais, independentemente de seu status, e fecha o soquete TCP do ouvinte se um soquete de ouvinte MPTCP estiver vinculado ao IP correspondente ao endpoint a ser excluído.
Recomendações
Para resolver o problema, atualize o kernel do Linux para uma versão que inclua a correção, a qual ignora explicitamente os soquetes MPTCP no status TCP LISTEN.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Linux Kernel
Red Os
Suse