PT-2024-10466 · Linux+5 · Linux Kernel+5

Publicado

2024-07-30

·

Atualizado

2025-02-03

·

CVE-2024-42138

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma dupla liberação de memória no componente mlxsw do kernel do Linux quando um arquivo INI inválido é encontrado. Especificamente, a função mlxsw linecard types init() desaloca a memória, mas não redefine o ponteiro para NULL, retornando 0. Se ocorrer um erro após a chamada dessa função, mlxsw linecards init() chama mlxsw linecard types fini(), que realiza a desalocação de memória novamente, levando a um problema potencial. O problema é resolvido adicionando-se uma redefinição do ponteiro para NULL. Esta vulnerabilidade foi identificada pelo Linux Verification Center com o SVACE.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

NULL Pointer Dereference

Double Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476CWE-415

Identificadores relacionados

BDU:2025-01006
CVE-2024-42138
DLA-4008-1
MGASA-2024-0277
MGASA-2024-0278
OESA-2024-2076
SUSE-SU-2024:3194-1
SUSE-SU-2024:3195-1
SUSE-SU-2024:3383-1
SUSE-SU-2025:20044-1
SUSE-SU-2025:20047-1
USN-7089-1
USN-7089-2
USN-7089-3
USN-7089-4
USN-7089-5
USN-7089-6
USN-7089-7
USN-7090-1
USN-7095-1
USN-7156-1

Produtos afetados

Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu