PT-2024-10499 · Linux+9 · Linux Kernel+9
Publicado
2024-04-24
·
Atualizado
2025-09-29
·
CVE-2024-40978
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
A vulnerabilidade está relacionada ao componente scsi: qedi no kernel do Linux. Ela é causada pela função
qedi dbg do not recover cmd read(), que invoca sprintf() diretamente em um ponteiro user, resultando em uma falha no sistema. Para corrigir esse problema, deve-se usar um pequeno buffer de pilha local para sprintf() e, em seguida, chamar simple read from buffer(), que, por sua vez, faz a chamada copy to user(). A vulnerabilidade pode ser explorada para causar uma negação de serviço.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
DoS
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Linuxmint
Linux Kernel
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu