CVE-2024-35973

Versões do kernel Linux anteriores à 6.9.0

O problema decorre da diferença na forma como os auxiliares de túnel IP e a função pskb inet may pull() tratam o campo skb->protocol. Enquanto a maioria dos auxiliares de túnel IP usa skb protocol(skb, true), pskb inet may pull() usa apenas skb->protocol. Se for encontrado qualquer valor diferente de ETH P IPV6 ou ETH P IP em skb->protocol, pskb inet may pull() não executa nenhuma ação. Isso pode causar problemas quando uma tag VLAN é fornecida pelo chamador, pois o cabeçalho de rede pode não apontar para o local correto, e a parte linear do skb pode ser menor do que o esperado. A adição de skb vlan inet prepare() tem como objetivo realizar uma validação MAC completa para resolver esse problema.

Para resolver o problema, atualize o kernel do Linux para a versão 6.9.0 ou posterior. Se a atualização não for viável, considere aplicar o patch que adiciona skb vlan inet prepare() para realizar uma validação MAC completa. Como solução alternativa temporária, considere desativar o módulo geneve até que um patch esteja disponível.