PT-2024-11499 · Linux+3 · Linux Kernel+3
Dan Carpenter
·
Publicado
2021-12-08
·
Atualizado
2024-12-02
·
CVE-2021-47604
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado à função
vduse no kernel do Linux, especificamente à função get config(). Ela verifica a variável len, mas não a variável offset, o que poderia resultar em uma leitura fora dos limites se offset > dev->config size. O problema surge porque ambas as variáveis são sem sinal, e a subtração dev->config size - offset resultaria em um valor sem sinal muito alto. A função vhost vdpa config validate() deveria validar len e offset, mas a segurança do código ainda é motivo de preocupação. Essa vulnerabilidade pode permitir que um invasor cause uma negação de serviço.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Linux Kernel
Red Os
Suse