PT-2022-7430 · Linux+1 · Linux Kernel+1
Vladimir Oltean
·
Publicado
2022-02-15
·
Atualizado
2024-09-25
·
CVE-2022-48779
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado à função
ocelot vlan del() no driver do adaptador de rede Microsemi do kernel do Linux, que está vulnerável a uma condição de uso após liberação de memória. Isso ocorre porque ocelot vlan member del() libera a struct ocelot bridge vlan, e se esta for igual ao pvid vlan da porta, acessá-la posteriormente resulta no acesso à memória liberada. Isso pode afetar potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas.Recomendações
Para resolver o problema, determine se deve limpar
ocelot port->pvid vlan antes de chamar ocelot vlan member del(). Como solução temporária, considere restringir o acesso à função vulnerável ocelot vlan del() até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linux Kernel
Red Os