CVE-2024-38608

Versões do kernel Linux anteriores à 6.5.0

A vulnerabilidade está relacionada ao driver net/mlx5e no kernel Linux. Ela ocorre quando a função mlx5e suspend libera recursos apenas se netif device present() retornar verdadeiro, mas mlx5e resume altera o estado do netif por meio de mlx5e nic enable apenas se reg state for igual a NETREG REGISTERED. Isso pode levar a uma desreferência de ponteiro NULL e a vazamentos de memória em certos casos. O problema surge quando mlx5e probe chama mlx5e resume, que, por sua vez, chama mlx5e attach netdev e mlx5e nic enable. Se register netdev falhar, netif device present retorna falso, e os recursos não são liberados, resultando em um vazamento de memória.

Para resolver este problema, atualize o kernel do Linux para uma versão que inclua a correção para o driver net/mlx5e. Especificamente, certifique-se de que a versão do kernel seja 6.5.0 ou posterior, pois essa versão inclui os patches necessários para corrigir a vulnerabilidade. Se não for possível atualizar o kernel, considere aplicar o patch para o driver net/mlx5e à versão existente do kernel para corrigir o problema.