PT-2024-1905 · Linux+7 · Linux Kernel+7

Sabrina Dubroca

·

Publicado

2024-02-10

·

Atualizado

2025-09-29

·

CVE-2024-26582

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” na implementação TLS do kernel do Linux, especificamente na função tls decrypt done(). Essa vulnerabilidade pode ser explorada para comprometer a confidencialidade, a integridade e a disponibilidade de informações protegidas. A vulnerabilidade ocorre quando tls decrypt sg não retém uma referência às páginas de clear skb, fazendo com que put page() em tls decrypt done as libere, levando a um uso após liberação (use-after-free) em process rx list ao tentar ler do skb parcialmente lido.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

DoS

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALSA-2024:2394
ALSA-2024_2394
ALSA-2025_16880
ALT-PU-2024-14046
ALT-PU-2024-3291
ALT-PU-2024-6818
AZL-35798
BDU:2024-01681
CVE-2024-26582
DSA-5658-1
INFSA-2024_2394
RHSA-2024:1881
RHSA-2024:1882
RHSA-2024:2394
RHSA-2024_2394
SUSE-SU-2025:20028-1
USN-6765-1
USN-6818-1
USN-6818-2
USN-6818-3
USN-6818-4
USN-6819-1
USN-6819-2
USN-6819-3
USN-6819-4

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Linuxmint
Linux Kernel
Red Hat
Red Os
Ubuntu