PT-2024-11423 · Linux+2 · Linux Kernel+2

Mike Christie

·

Publicado

2021-10-04

·

Atualizado

2024-12-31

·

CVE-2021-47427

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
Foi corrigida uma vulnerabilidade no kernel do Linux, especificamente no componente scsi: iscsi. O problema decorre de um erro de uso após liberação (use-after-free) no iscsi task, devido a alterações no tratamento de abortos. O commit d39df158518c introduziu as chamadas iscsi get conn() e iscsi put conn() durante o tratamento de abortos, mas também alterou o tratamento de tarefas já concluídas, levando ao uso após liberação do iscsi task. Isso ocorre porque o código de limpeza comum executa um put no iscsi task. A correção reverte o goto e move a chamada iscsi get conn() para depois da verificação da validade do iscsi task.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

BDU:2025-07466
CVE-2021-47427
OESA-2024-1692
OESA-2024-1694
OESA-2024-1768
OPENSUSE-SU-2024_2189-1
SUSE-SU-2024:2008-1
SUSE-SU-2024:2011-1
SUSE-SU-2024:2019-1
SUSE-SU-2024:2189-1
SUSE-SU-2024:2190-1

Produtos afetados

Astra Linux
Linux Kernel
Suse