PT-2022-2238 · Linux+1 · Linux Kernel+1

Publicado

2022-02-26

·

Atualizado

2023-08-29

·

CVE-2022-28796

CVSS v3.1

7.0

Alta

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 5.17.1
Descrição
O problema está relacionado à função jbd2 journal wait updates no kernel do Linux, especificamente no arquivo fs/jbd2/transaction.c. Trata-se de uma condição de uso após liberação (use-after-free) causada por uma condição de corrida (race condition) no transaction t, que pode ser explorada por um invasor remoto para executar código arbitrário.
Recomendações
Para versões do kernel Linux anteriores à 5.17.1, atualize para a versão 5.17.1 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à função jbd2 journal wait updates até que um patch esteja disponível.

Correção

Use After Free

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416CWE-362

Identificadores relacionados

ALT-PU-2022-1647
ALT-PU-2022-1730
ALT-PU-2022-1768
ALT-PU-2022-2155
ALT-PU-2023-1684
ALT-PU-2023-1741
ALT-PU-2023-1814
ALT-PU-2023-4894
AZL-9331
BDU:2022-02328
CVE-2022-28796

Produtos afetados

Alt Linux
Linux Kernel