PT-2021-8231 · Linux+7 · Linux Kernel+7

Syzkaller

·

Publicado

2021-11-30

·

Atualizado

2025-03-13

·

CVE-2021-47606

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 5.16.0-rc1+
Descrição
A vulnerabilidade está relacionada a um erro de divisão na função netem enqueue, que ocorre quando skb->len e skb->data len são ambos zero. Esse erro é causado pela falta de verificação do parâmetro len, permitindo que um skb vazio seja processado. O problema é resolvido adicionando-se uma verificação do parâmetro len para impedir skbs vazios.
Recomendações
Para resolver este problema, atualize o kernel do Linux para uma versão que inclua a correção, que é a versão 5.16.0-rc1 ou posterior. Se a atualização não for possível, considere desativar a função netem enqueue ou restringir seu uso para minimizar o risco de exploração. No entanto, essas são soluções temporárias, e a atualização do kernel é a solução recomendada.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade nas descrições de entrada fornecidas, mas, com base no contexto, parece que a correção está incluída na versão 5.16.0-rc1 ou posterior.

Correção

Divide By Zero

Improper Locking

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-369CWE-667

Identificadores relacionados

ALSA-2024:5363
BDU:2024-11555
CVE-2021-47606
INFSA-2024_5363
OPENSUSE-SU-2024_2947-1
RHSA-2024:5363
RHSA-2024_5363
RLSA-2024:5363
SUSE-SU-2024:2892-1
SUSE-SU-2024:2894-1
SUSE-SU-2024:2901-1
SUSE-SU-2024:2939-1
SUSE-SU-2024:2940-1
SUSE-SU-2024:2947-1
USN-7332-1
USN-7332-2
USN-7332-3

Produtos afetados

Almalinux
Astra Linux
Linux Kernel
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu