PT-2024-11390 · Linux+2 · Linux Kernel+2
Syzbot
·
Publicado
2021-09-21
·
Atualizado
2024-06-25
·
CVE-2021-47394
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
Foi identificada uma vulnerabilidade do tipo “use-after-free” no componente netfilter nf tables do kernel do Linux. O problema surge porque todas as operações de leitura (get) são realizadas sem bloqueio, permitindo que uma solicitação GET paralela acesse o objeto da tabela mesmo após ele ter sido excluído. Essa vulnerabilidade pode ser explorada porque o commit mutex mantido por nft rcv nl event() não é suficiente para impedir acessos de leitura ao objeto de tabela após a chamada de synchronize rcu(). O número estimado de dispositivos potencialmente afetados e detalhes sobre incidentes reais não foram fornecidos. Detalhes técnicos sobre a exploração incluem a função
nft table lookup e a função nf tables getset.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Linux Kernel
Suse