PT-2022-7376 · Linux+1 · Linux Kernel+1
Jianglei Nie
·
Publicado
2022-08-15
·
Atualizado
2025-11-28
·
CVE-2022-48670
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux até a 5.19.9
Descrição
O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” na função
adev release() do driver da Interface de Controle do Ambiente da Plataforma (PECI) do kernel Linux. Essa vulnerabilidade ocorre quando auxiliary device add() retorna um erro, fazendo com que auxiliary device uninit() seja chamado, o que decrementa a contagem de referências do dispositivo e aciona o callback .release. Como adev release() chama novamente auxiliary device uninit(), isso leva a uma condição de uso após liberação. A vulnerabilidade pode permitir que um invasor comprometa a confidencialidade, integridade e disponibilidade de informações protegidas.Recomendações
-
Para versões do kernel Linux até 5.19.9, aplique o patch para a versão mais recente do kernel para resolver o problema.
-
Identifique os sistemas afetados e monitore tentativas de exploração.
-
Como solução alternativa temporária, considere restringir o acesso à função vulnerável
adev release()até que um patch esteja disponível.
Exploit
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linux Kernel
Red Os