PT-2024-29178 · Linux+4 · Linux Kernel+4

Publicado

2024-05-30

·

Atualizado

2025-01-15

·

CVE-2024-40963

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
Foi descoberta uma vulnerabilidade no kernel do Linux em que alguns dispositivos têm o endereço CBR definido como 0, causando um kernel panic quando a função arch sync dma for cpu all é chamada. Esse problema ocorre quando o sistema é inicializado a partir do TP1 e BMIPS GET CBR() retorna 0 em vez de um endereço válido. As verificações atuais para desativar o RAC flush são insuficientes, sendo necessário verificar se o CBR é um endereço válido.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Improper Check for Exceptional Conditions

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-754CWE-20

Identificadores relacionados

BDU:2025-03439
CVE-2024-40963
DLA-4008-1
DSA-5730-1
DSA-5731-1
OESA-2024-1942
OESA-2024-1943
USN-6999-1
USN-6999-2
USN-7003-1
USN-7003-2
USN-7003-3
USN-7003-4
USN-7003-5
USN-7004-1
USN-7005-1
USN-7005-2
USN-7006-1
USN-7007-1
USN-7007-2
USN-7007-3
USN-7008-1
USN-7009-1
USN-7009-2
USN-7019-1
USN-7029-1

Produtos afetados

Astra Linux
Linuxmint
Linux Kernel
Red Os
Ubuntu