PT-2022-6557 · Linux+2 · Linux Kernel+2

Publicado

2022-11-25

·

Atualizado

2023-09-05

·

CVE-2023-2236

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade do tipo “use-after-free” no subsistema io uring do Kernel Linux pode ser explorada para obter escalonamento de privilégios local. Tanto o io install fixed file quanto seus chamadores chamam o fput em um arquivo em caso de erro, causando um subfluxo de referência que leva a uma vulnerabilidade do tipo “use-after-free”.
Recomendações
Atualize para uma versão posterior ao commit 9d94c04c0db024922e886c9fd429659f22f48ea4 para resolver o problema. Como solução temporária, considere restringir o acesso ao subsistema io uring até que um patch esteja disponível.

Exploit

Correção

LPE

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALT-PU-2022-3364
ALT-PU-2022-3371
ALT-PU-2023-1023
ALT-PU-2023-1064
BDU:2023-02406
CVE-2023-2236

Produtos afetados

Alt Linux
Linux Kernel
Red Os