PT-2022-4893 · Linux+6 · Linux Kernel+6
Chengjia4574
+3
·
Publicado
2022-09-08
·
Atualizado
2024-03-25
·
CVE-2022-40768
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux até a 5.19.9
Descrição
O problema está relacionado à função
stex queuecommand lck() no kernel Linux, que está associada à divulgação de informações em uma área de dados de erro. Isso pode permitir que um invasor obtenha acesso não autorizado a informações protegidas. O problema surge porque stex queuecommand lck não possui um memset para o caso PASSTHRU CMD, permitindo que usuários locais obtenham informações confidenciais da memória do kernel.Recomendações
Para versões do kernel Linux até a 5.19.9, considere atualizar para uma versão que inclua uma correção para este problema, já que a versão atual permite que usuários locais obtenham informações confidenciais devido à falta de um
memset na função stex queuecommand lck para o caso PASSTHRU CMD.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Use of Uninitialized Resource
Information Disclosure
Exposure of Resource to Wrong Sphere
Improper Initialization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu