PT-2022-6542 · Linux+5 · Linux Kernel+5

Bing-Jhong Billy Jheng

·

Publicado

2022-04-07

·

Atualizado

2024-04-03

·

CVE-2023-1872

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade do tipo “use-after-free” no sistema io uring do Kernel Linux pode ser explorada para obter escalonamento de privilégios local. A função io file get fixed não possui ctx->uring lock, o que pode levar a uma vulnerabilidade do tipo “use-after-free” devido a uma condição de corrida com arquivos fixos sendo desregistrados.
Recomendações
Atualize para uma versão posterior ao commit da24142b1ef9fd5d36b76e36bab328a5b27523e8 para resolver o problema. Como solução temporária, considere restringir o acesso ao sistema io uring para minimizar o risco de exploração.

Correção

LPE

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALT-PU-2022-1647
ALT-PU-2022-1730
ALT-PU-2022-1768
ALT-PU-2022-2155
ALT-PU-2023-1684
ALT-PU-2023-1741
ALT-PU-2023-1814
ALT-PU-2023-4894
AZL-26167
BDU:2023-02164
CVE-2023-1872
DLA-3404-1
LSN-0095-1
LSN-0102-1
OESA-2023-1265
OESA-2023-1268
SUSE-SU-2023:2146-1
SUSE-SU-2023:2147-1
SUSE-SU-2023:2148-1
SUSE-SU-2023:2401-1
SUSE-SU-2023:2405-1
SUSE-SU-2023:2416-1
SUSE-SU-2023:2423-1
SUSE-SU-2023:2448-1
USN-6044-1
USN-6051-1
USN-6070-1
USN-6107-1
USN-6133-1
USN-6134-1

Produtos afetados

Alt Linux
Astra Linux
Linux Kernel
Linuxmint
Suse
Ubuntu