CVE-2022-48854

Kernel do Linux (versões afetadas não especificadas)

O problema está relacionado a uma vulnerabilidade do tipo “use after free” no componente arc emac do kernel do Linux. Essa vulnerabilidade pode permitir que um invasor comprometa a confidencialidade, a integridade e a disponibilidade dos dados. A vulnerabilidade ocorre quando bus->state é igual a MDIOBUS ALLOCATED e mdiobus free(bus) libera o “bus”, mas bus->name ainda é usado na linha seguinte, levando a um uso após liberação. A função arc mdio probe() é especificamente afetada. Para corrigir isso, o nome pode ser colocado em uma variável local, e bus->name pode ser configurado para apontar para a seção “name” de rodata; em seguida, use o nome na mensagem de erro sem fazer referência a bus para evitar o uso após liberação.

Como solução temporária, considere desativar a função arc mdio probe() até que um patch esteja disponível. Restrinja o acesso ao componente vulnerável arc emac para minimizar o risco de exploração. Evite usar a variável bus->name no código afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.