PT-2024-11189 · Linux+1 · Linux Kernel+1
Publicado
2021-05-18
·
Atualizado
2024-08-19
·
CVE-2021-47139
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 5.11.0-rc3+
Descrição
A vulnerabilidade está relacionada ao driver de rede hns3 no kernel Linux. O problema ocorre quando o dispositivo de rede é registrado antes da conclusão da inicialização do cliente, criando um intervalo de tempo entre o momento em que o dispositivo fica disponível e o momento em que pode ser utilizado. Se um usuário tentar alterar o número do canal ou o parâmetro de toque durante esse período, isso pode fazer com que a função
hns3 set rx cpu rmap() seja chamada duas vezes, resultando em um relatório de bug. A vulnerabilidade pode ser explorada chamando register netdev() no final da função hns3 client init().Recomendações
Para resolver o problema, chame
register netdev() no final da função hns3 client init(). Isso garante que o dispositivo de rede seja registrado somente após a conclusão da inicialização do cliente, evitando a janela de tempo que permite a exploração da vulnerabilidade.Correção
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linux Kernel
Suse