PT-2024-10447 · Linux+6 · Linux Kernel+6

Publicado

2024-07-29

·

Atualizado

2026-03-14

·

CVE-2024-42098

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado ao componente de criptografia do kernel do Linux, especificamente à troca de chaves ecdh (Diffie-Hellman de Curva Elíptica). O problema surge quando o chamador fornece uma chave ou uma chave recém-gerada que é mais curta do que a chave anterior, deixando potencialmente algum material da chave anterior sem ser sobrescrito. A solução é zerar explicitamente toda a matriz private key primeiro. Este patch altera o comportamento da função, garantindo que a private key seja sempre zerada, mesmo que a ecc gen privkey falhe ou se params.key estiver definido e a ecc is key valid falhar.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

BDU:2025-00987
CVE-2024-42098
DLA-4008-1
OESA-2024-1992
OESA-2024-1994
OESA-2024-1995
OESA-2025-1078
OPENSUSE-SU-2024_3190-1
OPENSUSE-SU-2024_3209-1
OPENSUSE-SU-2024_3483-1
SUSE-SU-2024:3190-1
SUSE-SU-2024:3194-1
SUSE-SU-2024:3195-1
SUSE-SU-2024:3209-1
SUSE-SU-2024:3383-1
SUSE-SU-2024:3483-1
SUSE-SU-2024:4367-1
SUSE-SU-2025:0035-1
SUSE-SU-2025:1027-1
SUSE-SU-2025:1183-1
SUSE-SU-2025:20044-1
SUSE-SU-2025:20047-1
SUSE-SU-2025_1027-1
USN-7007-1
USN-7007-2
USN-7007-3
USN-7009-1
USN-7009-2
USN-7019-1
USN-7089-1
USN-7089-2
USN-7089-3
USN-7089-4
USN-7089-5
USN-7089-6
USN-7089-7
USN-7090-1
USN-7095-1
USN-7156-1

Produtos afetados

Astra Linux
Debian
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu