PT-2024-29834 · Linux+8 · Linux Kernel+8
Publicado
2024-07-24
·
Atualizado
2025-09-29
·
CVE-2024-42283
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.6.50
Descrição
O problema está relacionado ao componente de rede do kernel do Linux, especificamente à inicialização de campos em nexthops despejados. A
struct nexthop grp contém dois campos reservados que não são inicializados pela função nla put nh group(), resultando em vazamentos de memória do kernel. Esses campos não são usados atualmente, mas podem dificultar a reutilização para novos fins se não forem inicializados corretamente. O vazamento pode ser observado usando strace com comandos como ip nexthop add e strace -e recvmsg ip nexthop get. A vulnerabilidade pode permitir que um invasor cause uma negação de serviço.Recomendações
Para resolver o problema, atualize o kernel do Linux para a versão 6.6.50 ou posterior. Como solução temporária, considere restringir o acesso ao componente
net ou à funcionalidade nexthop até que um patch esteja disponível. Evite usar a função recvmsg com o comando ip nexthop get até que o problema seja resolvido.Exploit
Correção
Use of Uninitialized Resource
Memory Leak
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Linuxmint
Linux Kernel
Red Hat
Red Os
Suse
Ubuntu