PT-2022-7490 · Linux+3 · Linux Kernel+3

Chenxiaosong

·

Publicado

2022-02-22

·

Atualizado

2024-09-27

·

CVE-2022-48931

CVSS v3.1

4.7

Média

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
A vulnerabilidade está relacionada a uma condição de corrida no componente configfs do kernel do Linux. Quando configfs register subsystem() ou configfs unregister subsystem() está executando link group() ou unlink group(), é possível que dois processos adicionem ou excluam itens da lista simultaneamente, levando a um kernel panic. O problema decorre da sincronização incorreta do acesso a recursos compartilhados. Para corrigir isso, um mutex é adicionado ao chamar link group() ou unlink group(), mas um caso especial é tratado quando o configfs subsystem pai é NULL para o config item raiz. Um novo mutex configfs subsystem mutex é criado para resolver esse problema.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362

Identificadores relacionados

BDU:2024-06636
CVE-2022-48931
OPENSUSE-SU-2024_3190-1
OPENSUSE-SU-2024_3209-1
OPENSUSE-SU-2024_3408-1
OPENSUSE-SU-2024_3483-1
SUSE-SU-2024:3189-1
SUSE-SU-2024:3190-1
SUSE-SU-2024:3209-1
SUSE-SU-2024:3227-1
SUSE-SU-2024:3251-1
SUSE-SU-2024:3252-1
SUSE-SU-2024:3408-1
SUSE-SU-2024:3483-1

Produtos afetados

Astra Linux
Linux Kernel
Red Os
Suse