PT-2024-30721 · Linux+4 · Linux Kernel+4
Publicado
2024-07-31
·
Atualizado
2025-02-04
·
CVE-2024-43864
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Versões do kernel upstream anteriores à 6.6.50
Descrição
O problema está relacionado ao módulo net/mlx5e no kernel do Linux, onde uma vulnerabilidade foi resolvida corrigindo vazamentos na atualização de entradas CT do contexto do cabeçalho de modificação. Ao atualizar uma entrada CT, um novo cabeçalho de modificação é alocado para substituir o antigo. No entanto, se a alocação falhar, o cabeçalho de modificação se torna um ponteiro de erro, provocando um panic quando desalocado. O antigo ponteiro do cabeçalho de modificação é copiado para o atributo antigo e, quando o atributo antigo é liberado, o antigo cabeçalho de modificação é perdido. A correção restaura o atributo antigo para o atributo quando a alocação de um novo contexto de cabeçalho de modificação falha, garantindo que o contexto correto do cabeçalho de modificação seja liberado quando a entrada CT for liberada.
Recomendações
Atualize para a versão 6.6.50 ou posterior do kernel upstream para resolver o problema.
Como solução alternativa temporária, considere desativar o módulo net/mlx5e até que um patch esteja disponível.
Restrinja o acesso à funcionalidade de atualização da entrada CT para minimizar o risco de exploração.
Exploit
Correção
Use After Free
Memory Leak
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu