PT-2024-29265 · Linux+6 · Linux Kernel+6
Niklas Cassel
·
Publicado
2024-06-29
·
Atualizado
2025-09-29
·
CVE-2024-41098
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.10.0-rc5
Descrição
Uma vulnerabilidade de desreferência de ponteiro nulo foi corrigida no kernel Linux. O problema ocorre quando a chamada
ata port alloc() em ata host alloc() falha, fazendo com que ata host release() seja chamada. No entanto, o código em ata host release() tenta liberar os membros da estrutura ata port incondicionalmente, levando a um erro de falha de página. Isso pode resultar em uma falha do sistema ou, potencialmente, permitir que um invasor execute código arbitrário.Recomendações
Para resolver este problema, atualize o kernel do Linux para uma versão posterior à 6.10.0-rc5.
Como solução temporária, considere desativar a função
ata host release() até que um patch esteja disponível.Restrinja o acesso ao módulo
libata para minimizar o risco de exploração.Evite usar as funções
ata port alloc() e ata host alloc() em combinação até que o problema seja resolvido.Aplique alterações de configuração para impedir que a função
ata host release() seja chamada desnecessariamente.Exploit
Correção
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu